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Si este libro le ha sido de utilidad, puede contribuir al desarrollo de éste a través de suscripciones voluntarias a 
nuestro portal. Sus aportaciones nos ayudarán a crecer y desarrollar más y mejor contenido en el sitio de red y 
para mejorar este libro. 


http://www.alcancelibre.org/staticpages/index.php/suscripciones 
Alcance Libre ofrece soporte técnico gratuito exclusivamente através de nuestros foros localizados en: 

http://www.alcancelibre.org/forum/ 

Para cualquier consulta a través de otros medios, como correo electrónico, teléfono o mensajería instantánea, 
ofrecemos un servicio comercial de consultoría. 

Alcance Libre ofrece los siguientes productos y servicios basados sobre Software Libre, gracias a los cuales 
financia sus operaciones. Para mayor información, estamos disponibles a través del número telefónico (52) (55) 
5677-7130 de la ciudad de México o bien directamente en nuestras oficinas centrales en Serapio Rendón #63, 
oficina4, Colonia San Rafael, Delegación Cuauhtemoc, C.P. 06470, México, D.F. 

• Capacitación (cursos) 

• Conferencias y pláticas 

• Consultoría 

• Implementaciones (Servidores) 

• Soporte Técnico 

• Publicidad en el portal 
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A mi difunto padre, a quien debo reconocer jamás supe comprender y a quien jamás le dí la oportunidad de 

entenderme. 

Blanca, eres el amor de mi vida y gracias a ti inicié mi gusto por escribir. Te agradezco el haberme permitido 
escribirte todas esas cosas hace tantos anos y el que hoy seas mi companera en la vida. 

A mis hijos, Joel Alejandro, Sergio Armando y René Isaac Barrios Caullieres. 
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Conformación. 

Me encuentro de regreso en mis raíces, 
reviso mis trabajos pasados, 
entre risas y otros cursis versos 
(suenos entonces de adolescente), 
desde existenciales a lo absurdo, 
ligerezas tan sentimentales 
construyendo un carácter (mi mundo). 
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Acerca de Joel Barrios Duenas. 

Hay poco que decir respecto de mí. Solía ser médico veterinario zootecnista, dedicado principalmente a la 
atención médica de pequenas especies y otras mascotas (perros, gatos, peces y tortugas) y a la venta de 
alimentos y accesorios para mascotas. Trabajo activamente con computadoras personales desde 1990, con las 
cuales siempre he tenido gran facilidad. Mi primera computadora, fue una Apple lle que me prestó un amigo y 
que eventualmente me vendió. Curiosamente, salvo por una clase que tomé en tercero de secundaria, durante 
la cual nos impartieron una introducción a la programación en BASIC y el uso general de computadoras 
Comodore 16, jamás he tomado un curso o capacitación relacionada con la informática o computación. Siempre 
he sido auto-didáctica. 

Utilizo GNU/Linux desde Febrero de 1998 y desde Junio de 1999 como única plataforma en mi trabajo diario. 
Creo que es más que evidente que equivoque de carrera. 

Gran parte de las razones de mi incursión en el mundo de la informática fueron verdaderamente incidentales. 
En 1997, nunca hubiera imaginado que me estaría ganado la vida en un ámbito completamente distinto al que 
me dedicaba durante ese tiempo. Yo ya tenía un consultorio veterinario y negocio pequeno de distribución de 
alimentos para mascotas, los cuales me aseguraban un ingreso regular y constante. Lamentablemente las 
condiciones del mercado durante el siguiente ano repercutieron de forma importante en mis ingresos y fue 
entonces que empecé a buscar alternativas. Durante 1999 me estuve dedicando a la venta de equipo de 
cómputo y algo de diseno de sitios de red. Fueron algunos meses durante los cuales pude sobrevivir gracias a 
mis ahorros y a la suerte de contar un con talento poco común con las computadoras. 

iCómo empecé este proyecto? 

A mediados de 1999, mientras visitaba a un buen amigo mío, tuve un encuentro amistoso de unos 10 minutos 
con quien fue, en algún momento, la persona más importante que ha habido en mi vida, Blanca. 

Yo subía por un elevador, divagando en mis pensamientos con sutilezas y otros menesteres relacionados con 
mi profesión de veterinario. Salí del ascensor y me dirigí hacia la puerta de mi amigo. Me detuve unos instantes 
antes de pulsar el botón del timbre. Había una extrana sensación que circundaba mi mente, como un aroma 
familiar que no era posible recordar. Mi amigo tenía una reunión con varias personas, algunas de las cuales yo 
conocía desde hacía algunos anos pero que por diversas circunstancias no frecuentaba, así que supuse que 
era solo la sensación de volver a ver a personas después de mucho tiempo. Toque el timbre y un instante 
después mi amigo abrió la puerta. Le saludé con un apretón de manos y tras saludarle de la acostumbrada 
forma cortés, quedé mudo ai ver que la chica de la que me había enamorado durante mis anos de preparatoria, 
estaba presente. Frente a mi, sonriendo y mirándome. 

Habían pasado varios anos desde la última vez que nos habíamos visto. Conversamos un poco mientras ella 
cargaba al perro de mi amigo, al cual me disponía a aplicar una vacuna. Fue difícil dejar de mirarle y lo fue 
también el gusto de volver a verle de nuevo. Me despedí, pues tenía otro compromiso, pero en mi mente quedó 
un sentimiento de alegría de ver que aquella persona que había tenido un gran impacto en mi vida, estaba bien, 
muy hermosa y, en apariencia, feliz. 

Fue ese breve encuentro el que me inspiró algunos meses después a crear algo que me proporcionara los 
medios para lograr hacer algo importante en vida. Fue ese deseo de ser alguien y tener algo que ofrecer si 
algún día y si las circunstancias lo permitían, buscar una segunda oportunidad con la persona de la que me 
había enamorado muchos aíïos atrás y que de alguna forma jamás olvidé. Fue así que tras pasar muchas 
semanas planeando y tratando de dar forma a las ideas, el proyecto de comunidad que inicié con Linux Para 
Todos un 27 de agosto de 1999 y que hoy en día continuo con Alcance Libre. Surgió como un sueno, se 
materializó, se desarrollo y creció más allá de lo que hubiera imaginado. 

Es irónico que anos después, mi reencuentro con Blanca, quien es hoy en día mi esposa y madre de mis hijos 
Joel Alejandro, Sergio Armando y René Isaac, coincidiera con el fin del ciclo de Linux Para Todos, aunque 
también coincide con el inicio de otros proyectos y una nueva etapa con Alcance Libre. 
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Esta obra, que ahora comparto con los lectores, constituye la culminación del trabajo de más de 10 anos de 
investigación y experiencias. Mucho del material que le compone fue escrito durante diferentes etapas de mi 
ciclo mientras fui propietario y administrador de Linux Para Todos. El fin de dicho ciclo me da la oportunidad de 
explorar otras áreas de la informática desde un diferente enfoque, mismo que se verá reflejado en el material 
actualizado que compone esta obra. Nunca me ha interesado ser famoso o un millonario. 

Respecto del futuro, tengo una percepción distinta acerca de trascender más allá de los recuerdos familiares y 
trascender en la historia. Tal vez algún día, tal vez cien anos después de haya muerto, se que de alguna forma 
mi legado en la historia será a través de todo lo que escribí y las cosas que pensaba y aquellas en las que 
creía. 
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Currículo. 

Datos personales 

• Nombre: Joel Barrios Duenas. 

• Ano y lugar de nacimiento: 1970, México, Distrito Federal. 

• Sexo: masculino. 

• Estado civil: Unión Libre. 

Escolaridad 

• Secundaria: Colegio México (Acoxpa). 1982-1985 

• Preparatoria: Instituto Centro Unión. 1985-1988 

• Facultad de Medicina Veterinaria y Zootecnia, U.N.A.M. 1989-1993 

Empleos en los que me he desempenado. 

• 1993-1999 

• Mi propia sub-distribuidora de alimentos y accesorios para mascotas. Dirección general. 

• Visitador Médico y asesor en informática. Distribuidora de Alimentos para Pequenas Especies 
(Dialpe). Junio 1997 - Noviembre 1997. 

• Consultor externo de Dialpe 1998 - 1999. 

• 1999 a2006: 

• Fui el creador, director y administrador LinuxParaTodos.net. 

• Asesoría y consultoría en GNU/Linux. 

• Capacitación en GNU/Linux. 

• 2002 - 2003: 

• Director Operativo Grupo MPR S.A. de C.V. (Actualmente Buytek Network Solutions) 

• 2002a2006: 

• Director del proyecto LPT Desktop. 

• 2007 a la fecha: 

• Director de proyecto AL Desktop (descartado). 

• Director de proyecto AL Server. 

• Director de proyecto ALDOS. 

• Fundador y director de proyecto de AlcanceLibre.org 

• Director del área de soporte técnico de Buytek Network Solutions. 


Capacidades 

• Inglés 99% 

• Ensamble, configuración y mantenimiento de computadoras personales. 

• Lenguajes HTML4.0, HTML5 y CSS 2.0 

• Programación en BASH 

• Instalación, configuración y administración de Linux y servicios que trabajan sobre éste (Samba, 
Apache, Sendmail, Postfix, ClamAV, OpenLDAP, NFS, OpenSSH, VSFTPD, Shorewall, SNMP, 
MRTG, Squid, etc.) 
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Certificados 

• Novell Certified Linux Desktop Administrator (Novell CLDA). 

• Novell Certified Linux Administrator (Novell CLA). 



Novell Certified Linux 
Desktop Administrator 

Joel Barrios 


Nov«l. on authonzai»on from the Presdent and CEO. 
hereby recognzes you as a Noveil Cedifted Linux DesWop 
Admmistrator tor successtuly completmg the ceriification 
requrements on 
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Linux Administrator 
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hereby recognzes you as a Noveil Certified Linux 
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Información de Derechos reservados de 
esta publicación. 


Reconocimiento-NoComercial-Compartirlgual 2.1 
Usted es libre de: 

• copiar, distribuir y comunicar públicamente la obra 
• hacer obras derivadas 

Bajo las condiciones siguientes: 



Reconocimiento. Debe reconocer y citar al autor original. 


No comercial. No puede utilizar esta obra para fines comerciales. 


Compartir bajo la misma licencia. Si altera o transforma esta obra o genera una obra 
derivada, sólo puede distribuir la obra generada bajo una licencia idéntica a ésta. 


• Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. 

• Alguna de estas condiciones puede no aplicarse si se obtiene el permiso del titular de los derechos de 

autor 


Los derechos derivados de usos legítimos u otras limitaciones no se ven afectados por lo anterior. 


Reconocimiento-NoComercial-Compartirlgual 2.1 


CREATIVE COMMONS CORPORATION NO ES UN DESPACHO DE ABOGADOS Y NO PROPORCIONA SERVICIOS JURÍDICOS. LA DISTRIBUCIÓN DE 
ESTA LICENCIA NO CREA UNA RELACIÓN ABOGADO-CLIENTE. CREATIVE COMMONS PROPORCIONA ESTA INFORMACIÓN TAL CUAL (ON AN "AS-IS" 
BASIS). CREATIVE COMMONS NO OFRECE GARANTÍA ALGUNA RESPECTO DE LA INFORMACIÓN PROPORCIONADA, Nl ASUME RESPONSABILIDAD 
ALGUNA POR DANOS PRODUCIDOS A CONSECUENCIA DE SU USO. 


Licencia 


LA OBRA (SEGÚN SE DEFINE MÁS ADELANTE) SE PROPORCIONA BAJO TÉRMINOS DE ESTA LICENCIA PÚBLICA DE CREATIVE COMMONS ("CCPL" O 
"LICENCIA"). LA OBRA SE ENCUENTRA PROTEGIDA POR LA LEY ESPANOLA DE PROPIEDAD INTELECTUAL Y/O CUALESQUIERA OTRAS NORMAS 
RESULTEN DE APLICACIÓN. QUEDA PROHIBIDO CUALQUIER USO DE LA OBRA DIFERENTE A LO AUTORIZADO BAJO ESTA LICENCIA O LO 
DISPUESTO EN LAS LEYES DE PROPIEDAD INTELECTUAL. 


MEDIANTE EL EJERCICIO DE CUALQUIER DERECHO SOBRE LA OBRA, USTED ACEPTA Y CONSIENTE LAS LIMITACIONES Y OBLIGACIONES DE ESTA 
LICENCIA. EL LICENCIADOR LE CEDE LOS DERECHOS CONTENIDOS EN ESTA LICENCIA, SIEMPRE QUE USTED ACEPTE LOS PRESENTES TÉRMINOS 
Y CONDICIONES. 


1. Definiciones 
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a. La "obra" es la creación literaria, artística o científica ofrecida bajo los términos de esta licencia. 


b. El "autor" es la persona o la entidad que creó la obra. 


C. Se considerará "obra conjunta" aquella susceptible de ser incluida en alguna de las siguientes categorías: 


I. "Obra en colaboración" , entendiendo por tal aquella que sea resultado unitario de la colaboración de varios autores. 


d. "Obra colectiva", entendiendo por tal la creada por la iniciativa y bajo la coordinación de una persona natural o jurídica que la modifique y divulgue 
bajo su nombre y que esté constituida por la reunión de aportaciones de diferentes autores cuya contribución personal se funde en una creación única 
y autónoma, para la cual haya sido concebida sin que sea posible atribuir separadamente a cualquiera de ellos un derecho sobre el conjunto de la 
obra realizada. 


e. "Obra compuesta e independiente", entendiendo por tal la obra nueva que incorpore una obra preexistente sin la colaboración del autor de esta 
última. 


f. Se considerarán "obras derivadas" aquellas que se encuentren basadas en una obra o en una obra y otras preexistentes, tales como: las 
traducciones y adaptaciones; las revisiones, actualizaciones y anotaciones; los compendios, resúmenes y extractos; los arreglos musicales y, en 
general, cualesquiera transformaciones de una obra literaria, artística o científica, salvo que la obra resultante tenga el carácter de obra conjunta en 
cuyo caso no será considerada como una obra derivada a los efectos de esta licencia. Para evitar la duda, si la obra consiste en una composición 
musical o grabación de sonidos, la sincronización temporal de la obra con una imagen en movimiento ("synching") será considerada como una obra 
derivada a los efectos de esta licencia. 


g. Tendrán la consideración de "obras audiovisuales" las creaciones expresadas mediante una serie de imágenes asociadas, con o sin sonorización 
incorporada, así como las composiciones musicales, que estén destinadas esencialmente a ser mostradas a través de aparatos de proyección o por 
cualquier otro medio de comunicación pública de la imagen y del sonido, con independencia de la naturaleza de los soportes materiales de dichas 
obras. 


h. El "licenciador" es la persona o la entidad que ofrece la obra bajo los términos de esta licencia y le cede los derechos de explotación de la misma 
conforme a lo dispuesto en ella. 

I. "Usted" es la persona o la entidad que ejercita los derechos cedidos mediante esta licencia y que no ha violado previamente los términos de la misma 
con respecto a la obra o que ha recibido el permiso expreso del licenciador de ejercitar los derechos cedidos mediante esta licencia a pesar de una 
violación anterior. 


j. La "transformación" de una obra comprende su traducción, adaptación y cualquier otra modificación en su forma de la que se derive una obra 
diferente. Cuando se trate de una base de datos según se define más adelante, se considerará también transformación la reordenación de la misma. 
La creación resultante de la transformación de una obra tendrá la consideración de obra derivada. 


k. Se entiende por "reproducción" lafijación de la obra en un medio que permita su comunicación y la obtención de copias de toda o parte de ella. 


I. Se entiende por "distribución" la puesta a disposición del público del original o copias de la obra mediante su venta, alquiler, préstamo o de cualquier 
otra forma. 


ITI. Se entenderá por "comunicación pública" todo acto por el cual una pluralidad de personas puedatener acceso a la obra sin previa distribución de 
ejemplares a cada una de ellas. No se considerará pública la comunicación cuando se celebre dentro de un ámbito estrictamente doméstico que no 
esté integrado o conectado a una red de difusión de cualquier tipo. A efectos de esta licencia se considerará comunicación pública la puesta a 
disposición del público de la obra por procedimientos alámbricos o inalámbricos, incluida la puesta a disposición del público de la obra de tal forma que 
cualquier persona pueda acceder a ella desde el lugar y en el momento que elija. 


n. La "explotación" de la obra comprende su reproducción, distribución, comunicación públicay transformación. 


0. Tendrán la consideración de "bases de datos" las colecciones de obras ajenas, de datos o de otros elementos independientes como las antologías y 
las bases de datos propiamente dichas que por la selección o disposición de sus contenidos constituyan creaciones intelectuales, sin perjuicio, en su 
caso, de los derechos que pudieran subsistir sobre dichos contenidos. 


p. Los "elementos de la licencia" son las características principales de la licencia según la selección efectuada por el licenciador e indicadas en el 
título de esta licencia: Reconocimiento de autoría (Reconocimiento), Sin uso comercial (NoComercial), Compartir de manera igual (Compartirlgual). 


2. Límites y uso legítimo de los derechos. Nada en esta licencia pretende reducir o restringir cualesquiera límites legales de los derechos exclusivos del titular 
de los derechos de propiedad intelectual de acuerdo con la Ley de Propiedad Intelectual o cualesquiera otras leyes aplicables, ya sean derivados de usos 
legítimos, tales como el derecho de copia privada o el derecho a cita, u otras limitaciones como la derivada de la primera venta de ejemplares. 
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3. Concesión de licencia. Conforme a los términos y a las condiciones de esta licencia, el licenciador concede (durante toda la vigencia de los derechos de 
propiedad intelectual) una licencia de ámbito mundial, sin derecho de remuneración, no exclusiva e indefinida que incluye la cesión de los siguientes derechos: 

a. Derecho de reproducción, distribución y comunicación pública sobre la obra; 

b. Derecho a incorporarla en una o más obras conjuntas o bases de datos y para su reproducción en tanto que incorporada a dichas obras conjuntas o 

bases de datos; 

c. Derecho para efectuar cualquier transformación sobre la obra y crear y reproducir obras derivadas; 

d. Derecho de distribución y comunicación pública de copias o grabaciones de la obra, como incorporada a obras conjuntas o bases de datos; 

e. Derecho de distribución y comunicación pública de copias o grabaciones de la obra, por medio de una obra derivada. 


Los anteriores derechos se pueden ejercitar en todos los medios y formatos, tangibles o intangibles, conocidos o por conocer. Los derechos mencionados 
incluyen el derecho a efectuar las modificaciones que sean precisas técnicamente para el ejercicio de los derechos en otros medios y formatos. Todos los 
derechos no cedidos expresamente por el licenciador quedan reservados, incluyendo, a título enunciativo pero no limitativo, los establecidos en la sección 4(e). 


4. Restricciones. La cesión de derechos que supone esta licencia se encuentra sujeta y limitada a las restricciones siguientes: 


a. Usted puede reproducir, distribuir o comunicar públicamente la obra solamente bajo términos de esta licencia y debe incluir una copia de la misma o 
su Identificador Uniforme de Recurso (URI), con cada copia o grabación de la obra que usted reproduzca, distribuya o comunique públicamente. 
Usted no puede ofrecer o imponer ningún término sobre la obra que altere o restrinja los términos de esta licencia o el ejercicio de sus derechos por 
parte de los cesionarios de la misma. Usted no puede sublicenciar la obra. Usted debe mantener intactos todos los avisos que se refieran a esta 
licencia y a la ausencia de garantías. Usted no puede reproducir, distribuir o comunicar públicamente la obra con medidas tecnológicas que controlen 
el acceso o uso de la obra de una manera contraria a los términos de esta licencia. Lo anterior se aplica a una obra en tanto que incorporada a una 
obra conjunta o base de datos, pero no implica que éstas, al margen de la obra objeto de esta licencia, tengan que estar sujetas a los términos de la 
misma. Si usted crea una obra conjunta o base de datos, previa comunicación del licenciador, usted deberá quitar de la obra conjunta o base de datos 
cualquier referencia a dicho licenciador o al autor original, según lo que se le requiera y en la medida de lo posible. Si usted crea una obra derivada, 
previa comunicación del licenciador, usted deberá quitar de la obra derivada cualquier referencia a dicho licenciador o al autor original, lo que se le 
requiera y en la medida de lo posible. 


b. Usted puede reproducir, distribuir o comunicar públicamente una obra derivada solamente bajo los términos de esta licencia o de una versión posterior 
de esta licencia con sus mismos elementos principales o de una licencia iCommons de Creative Commons que contenga los mismos elementos 
principales que esta licencia (ejemplo: Reconocimiento-NoComercial-Compartir 2.0 Japón). Usted debe incluir una copia de la esta licencia o de la 
mencionada anteriormente o bien su Identificador Uniforme de Recurso (URI), con cada copia o grabación de la obra que usted reproduzca, distribuya 
o comunique públicamente. Usted no puede ofrecer o imponer ningún término respecto de las obras derivadas o sus transformaciones que alteren o 
restrinjan los términos de esta licencia o el ejercicio de sus derechos por parte de los cesionarios de la misma, Usted debe mantener intactos todos 
los avisos que se refieran a esta licencia y a la ausencia de garantías. Usted no puede reproducir, distribuir o comunicar públicamente la obra 
derivada con medidas tecnológicas que controlen el acceso o uso de la obra de una manera contraria a los términos de esta licencia. Lo anterior se 
aplica a una obra derivada en tanto que incorporada a una obra conjunta o base de datos, pero no implica que éstas, al margen de la obra objeto de 
esta licencia, tengan que estar sujetas a los términos de esta licencia. 


c. Usted no puede ejercitar ninguno de los derechos cedidos en la sección 3 anterior de manera que pretenda principalmente o se encuentre dirigida 
hacia la obtención de un beneficio mercantil o la remuneración monetaria privada. El intercambio de la obra por otras obras protegidas por la 
propiedad intelectual mediante sistemas de compartir archivos no se considerará como una manera que pretenda principalmente o se encuentre 
dirigida hacia la obtención de un beneficio mercantil o la remuneración monetaria privada, siempre que no haya ningún pago de cualquier 
remuneración monetaria en relación con el intercambio de las obras protegidas. 


d. Si usted reproduce, distribuye o comunica públicamente la obra o cualquier obra derivada, conjunta o base datos que la incorpore, usted debe 
mantener intactos todos los avisos sobre la propiedad intelectual de la obra y reconocer al autor original, de manera razonable conforme al medio o a 
los medios que usted esté utilizando, indicando el nombre (o el seudónimo, en su caso) del autor original si es facilitado; ei título de la obra si es 
facilitado; de manera razonable, el Identificador Uniforme de Recurso (URI), si existe, que el licenciador especifica para ser vinculado a la obra, a 
menos que tal URI no se refiera al aviso sobre propiedad intelectual o a la información sobre la licencia de la obra; y en el caso de una obra derivada, 
un aviso que identifique el uso de la obra en la obra derivada (e.g., "traducción francesa de la obra de Autor Original," o "guión basado en obra original 
de Autor Original"). Tal aviso se puede desarrollar de cualquier manera razonable; con tal de que, sin embargo, en el caso de una obra derivada, 
conjunta o base datos, aparezca como mínimo este aviso allá donde aparezcan los avisos correspondientes a otros autores y de forma comparable a 
los mismos. 


e. Para evitar la duda, sin perjuicio de la preceptiva autorización del licenciador y especialmente cuando la obra se trate de una obra audiovisual, el 
licenciador se reserva el derecho exclusivo a percibir, tanto individualmente como mediante una entidad de gestión de derechos o varias, (por 
ejemplo: SGAE, Dama, VEGAP), los derechos de explotación de la obra, así como los derivados de obras derivadas, conjuntas o bases de datos, si 
dicha explotación pretende principalmente o se encuentra dirigida hacia la obtención de un beneficio mercantil o la remuneración monetaria privada. 


f. En el caso de la inclusión de la obra en alguna base de datos o recopilación, el propietario o el gestor de la base de datos deberá renunciar a 
cualquier derecho relacionado con esta inclusión y concerniente a los usos de la obra una vez extraída de las bases de datos, ya sea de manera 
individual o conjuntamente con otros materiales. 


5. Exoneración de responsabilidad 
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A MENOS QUE SE ACUERDE MUTUAMENTE ENTRE LAS PARTES, EL LICENCIADOR OFRECE LA OBRA TAL CUAL (ON AN "AS-IS" BASIS) Y NO 
CONFIERE NINGUNA GARANTlA DE CUALQUIER TIPO RESPECTO DE LA OBRA O DE LA PRESENCIA O AUSENCIA DE ERRORES QUE PUEDAN O NO 
SER DESCUBIERTOS. ALGUNAS JURISDICCIONES NO PERMITEN LA EXCLUSIÓN DE TALES GARANTlAS, POR LO QUE TAL EXCLUSIÓN PUEDE NO 
SER DEAPLICACIÛN AUSTED. 


6. Limitación de responsabilidad. 


SALVO QUE LO DISPONGA EXPRESA E IMPERATIVAMENTE LA LEY APLICABLE, EN NINGÚN CASO EL LICENCIADOR SERÁ RESPONSABLE ANTE 
USTED POR CUALQUIER TEORlA LEGAL DE CUALESQUIERA DANOS RESULTANTES, GENERALES O ESPECIALES (INCLUIDO EL DANO EMERGENTE Y 
EL LUCRO CESANTE), FORTUITOS O CAUSALES, DIRECTOS O INDIRECTOS, PRODUCIDOS EN CONEXIÓN CON ESTA LICENCIA O EL USO DE LA 
OBRA, INCLUSO Sl EL LICENCIADOR HUBIERASIDO INFORMADO DE LA POSIBILIDAD DE TALES DANOS. 


7. Finalización de la licencia 


a. Esta licencia y la cesión de los derechos que contiene terminarán automáticamente en caso de cualquier incumplimiento de los términos de la misma. 
Las personas o entidades que hayan recibido obras derivadas, conjuntas o bases de datos de usted bajo esta licencia, sin embargo, no verán sus 
licencias finalizadas, siempre que tales personas o entidades se mantengan en el cumplimiento íntegro de esta licencia. Las secciones 1, 2, 5, 6, 7 y 8 
permanecerán vigentes pese a cualquier finalización de esta licencia. 


b. Conforme a las condiciones y términos anteriores, la cesión de derechos de esta licencia es perpetua (durante toda la vigencia de los derechos de 
propiedad intelectual aplicables a la obra). A pesar de lo anterior, el licenciador se reserva el derecho a divulgar o publicar la obra en condiciones 
distintas a las presentes o de retirar la obra en cualquier momento. No obstante, ello no supondrá dar por concluida esta licencia (o cualquier otra 
licencia que haya sido concedida o sea necesario ser concedida, bajo los términos de esta licencia), que continuará vigente y con efectos completos a 
no ser que haya finalizado conforme a lo establecido anteriormente. 


8. Miscelánea 


a. Cada vez que usted explote de alguna forma la obra o una obra conjunta o una base datos que la incorpore, el licenciador original ofrece a los 
terceros y sucesivos licenciatarios la cesión de derechos sobre la obra en las mismas condiciones y términos que la licencia concedida a usted. 


b. Cada vez que usted explote de alguna forma una obra derivada, el licenciador original ofrece a los terceros y sucesivos licenciatarios la cesión de 
derechos sobre la obra original en las mismas condiciones y términos que la licencia concedida a usted. 


c. Si alguna disposición de esta licencia resulta inválida o inaplicable según la Ley vigente, ello no afectará la validez o aplicabilidad del resto de los 
términos de esta licencia y, sin ninguna acción adicional por cualquiera las partes de este acuerdo, tal disposición se entenderá reformada en lo 
estrictamente necesario para hacer que tal disposición sea válida y ejecutiva. 


d. No se entenderá que existe renuncia respecto de algún término o disposición de esta licencia, ni que se consiente violación alguna de la misma, a 
menos que tal renuncia o consentimiento figure por escrito y lleve lafirma de la parte que renuncie o consienta. 


e. Esta licencia constituye el acuerdo pleno entre las partes con respecto a la obra objeto de la licencia. No caben interpretaciones, acuerdos o términos 
con respecto a la obra que no se encuentren expresamente especificados en la presente licencia. El licenciador no estará obligado por ninguna 
disposición complementaria que pueda aparecer en cualquier comunicación de usted. Esta licencia no se puede modificar sin el mutuo acuerdo por 
escrito entre el licenciador y usted. 


Creative Commons no es parte de esta licencia y no ofrece ninguna garantía en relación con la obra. Creative Commons no será responsable frente a usted o a 
cualquier parte, por cualquier teoría legal de cualesquiera danos resultantes, incluyendo, pero no limitado, danos generales o especiales (incluido el dano 
emergente y el lucro cesante), fortuitos o causales, en conexión con esta licencia. A pesar de las dos (2) oraciones anteriores, si Creative Commons se ha 
identificado expresamente como el licenciador, tendrá todos los derechos y obligaciones del licenciador. 


Salvo para el propósito limitado de indicar al público que la obra está licenciada bajo la CCPL, ninguna parte utilizará la marca registrada "Creative Commons" o 
cualquier marca registrada o insignia relacionada con "Creative Commons" sin su consentimiento por escrito. Cualquier uso permitido se hará de conformidad con 
las pautas vigentes en cada momento sobre el uso de la marca registrada por "Creative Commons", en tanto que sean publicadas su página web (website) o 
sean proporcionadas a petición previa. 


Puede contactar con Creative Commons en: http://creativecommons.org/. 
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Otras notas acerca de esta publicación. 


La información contenida en este manual se distribuye con la esperanza de que sea de utilidad y se proporciona tal cual es pero SIN GARANTÌA ALGUNA, aún 
sin la garantía implícita de comercialización o adecuamiento para un propósito en particular y el autor o autores no asumirán responsabilidad alguna si el usuario 
o lector hace mal uso de esta. 


Linux® es una marca registrada de Linus Torvalds, Red Hat™ Linux, RPM® y GLINT® son marcas registradas de Red Hat Softmare, Unix® es marca registrada 
de X/Open. MS-DOS®, MS-Office® y Windows® son marcas registradas de Microsoft Corporation. X Window System® es marca registrada de X Consortium, 
Inc., TrueType es una marca registrada de Apple Computer, WordPerfect® es una marca registrada de Corel Corporation, StarOffice® es una marca registrada de 
Sun Mycrosystems. Apache® es una marca registrada de The Apache Group. Fetchmail® es una marca registrada de Eric S. Raymond. Sendmail® es una 
marca registrada de Sendmail, Inc. Darkshram™ es ©1987 y marca registrada de Joel Barrios Duenas. 
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1. cQué es GNU/Linux? 

Autor: Joel Barrios Duehas 

Correo electrónico: darkshram en gmail punto com 

Sitio de Red: http://www.alcancelibre.org/ 


Creative Commons Reconocimiento-NoComercial-Compartirlgual 2.1 


© 1999-2016 Joel Barrios Duenas. Usted es libre de copiar, distribuir y comunicar públicamente la obra y hacer obras derivadas bajo las condiciones siguientes: a) 
Debe reconocer y citar al autor original. b) No puede utilizar esta obra para fines comerciales. c) Si altera o transforma esta obra o genera una obra derivada, sólo 
puede distribuir la obra generada bajo una licencia idéntica a ésta. Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. 
Alguna de estas condiciones puede no aplicarse si se obtiene el permiso del titular de los derechos de autor. Los derechos derivados de usos legítimos u otras 
limitaciones no se ven afectados por lo anterior. La información contenida en este documento y los derivados de éste se proporcionan tal cual son y los autores no 
asumirán responsabilidad alguna si el usuario o lector hace mal uso de éstos. 


GNU es un acrónimo recursivo que significa GNU No es Unix (GNU is Not Unix). Este proyecto fue iniciado por 
Richard Stallman y anunciado el 27 de septiembre de 1983, con el objetivo de crear un sistema operativo 
completamente libre. 

GNU/Linux® es un poderoso y sumamente versátil sistema operativo con licencia libre y que implemente el 
estándar POSIX (acrónimo de Portable Operating System Interface, que se traduce como Interfaz de Sistema 
Operativo Portable). Fue creado en 1991 por Linus Torvalds, siendo entonces un estudiante de la Universidad 
de Helsinski, Finlandia. En 1992, el núcleo Linux fue combinado con el sistema GNU. El Sistema Operativo 
formado por esta combinación se conoce como GNU/Linux. 

GNU/Linux es equipamiento lógico libre o Softvvare Libre. Esto significa que el usuario tiene la libertad de 
redistribuir y modificar a de acuerdo a necesidades específicas, siempre que se incluya el código fuente, como 
lo indica la Licencia Pública General GNU (acrónimo de GNU is Not Unix), que es el modo que ha dispuesto la 
Free Softvvare Foundation (Fundación de equipamiento lógico libre). Esto también incluye el derecho a poder 
instalar el núcleo de GNU/Linux® en cualquier número de ordenadores o equipos de cómputo que el usuario 
desee. 

GNU/Linux® no es equipamiento lógico gratuito (comúnmente denominado como Freevvare), se trata de 
equipamiento lógico libre o Softvvare Libre. Cuando nos referirnos a libre, lo hacemos en relación a la libertad 
y no al precio. La GPL (acrónimo de General Public Licence, que se traduce como Licencia Pública General), a 
la cual Linus Torvalds incorporó a Linux, está disenada para asegurar que el usuario tenga siempre la libertad 
de distribuir copias del equipamiento lógico (y cobrar por el servicio si así lo desea). La GPL tiene como objetivo 
garantizar al usuario la libertad de compartir y cambiar equipamiento lógico libre, es decir, asegurarse de que 
el equipamiento lógico siempre permanezca libre para todos los usuarios. La GPL es aplicable a la mayoría del 
equipamiento lógico de la Free Softvvare Foundation así como a cualquier otro programa cuyos autores se 
comprometan a usarlo. 

GNU/Linux® es también de la mejor alternativa de siglo XXI para los usuarios que no solo desean libertad, sino 
que también desean un sistema operativo estable, robusto y confiable. Es un sistema operativo idóneo para 
utilizar en Redes, como es el caso de servidores, estaciones de trabajo y también para computadoras 
personales. 

Las características de GNU/Linux® le permiten desempenar múltiples tareas en forma simultánea de forma 
segura y confiable. Los distintos servicios servicios se pueden detener, iniciar o reiniciar independientemente sin 
afectar al resto del sistema permitiendo operar las 24 horas del día los 365 días del ano. 

Tal ha sido el impacto alcanzado por GNU/Linux® en los últimos anos, que muchas de las empresas de 
Softvvare más importantes del mundo —entre las cuales están IBM, Oracle y Sun Microsystems— han 
encontrado en GNU/Linux una plataforma con un muy amplio mercado y se han volcado al desarrollo de 
versiones para Linux de sus más importantes aplicaciones. Grandes corporaciones como Compaq, Dell, 
Hevvlett Packard, IBM y muchos más, quienes llevan varios ahos distribuyendo equipos con GNU/Linux® como 
sistema operativo. 
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Gracias a sus características, la constante evolución de los ambientes gráficos para X Window®, que cada vez 
son de más fácil uso, como es el caso de GNOME y KDE, al trabajo de cientos de programadores y usuarios 
fieles alrededor del mundo, Linux ha dejado de ser un sistema operativo poco atractivo y complicado de utilizar 
para convertirse en una alternativa real para quienes buscan un sistema operativo confiable y poderoso, ya sea 
para una servidor, estación de trabajo o la computadora personal de un usuario intrépido. 

1.1. Requerimientos del sistema 

Aunque el servidor de vídeo teóricamente puede funcionar con sólo 128 MB RAM, su desempeno será 
extremadamente lento. Algunas aplicaciones para modo gráfico pueden necesitar escalar 512 MB, 1 GB o 2 
GB de RAM adicional. El mínimo recomendado para utilizar GNOME 2.x es de 512 MB RAM; se recomiendan 1 
GB. El óptimo es de 2 GB RAM. 

Si desea instalar Linux en una computadora personal con las suficientes aplicaciones para ser totalmente 
funcional y productivo y contar con el espacio necesario para instalar herramientas de oficina (LibreOffice), se 
recomienda contar con al menos 10 GB de espacio libre en disco, al menos 2 GB RAM y un microprocesador 
Ì686 a cuando menos 1 GHz. 

El instalador en modo texto de CentOS 6 y Red Hat™ Enterprise Linux 6 requiere al menos 384 MB RAM 
para ejecutar el instalador en modo texto. El instalador en modo gráfico requiere al menos 640 MB RAM. Para 
pruebas y capacitación se recomienda al menos 768 MB RAM. Para escenarios en producción se recomiendan 
al menos 4 GB RAM. 

SUSE™ Linux Enterprise y openSUSE™ requieren un mínimo de 768 MB RAM tan sólo para utilizar el 
instalador. Para pruebas y capacitación se recomienda al menos 1 GB RAM. Para escenarios en producción se 
recomiendan al menos 4 GB RAM. 
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2. Tabla comparativa de distribuciones Linux. 

Autor: Joel Barrios Duehas 

Correo electrónico: darkshram en gmail punto com 

Sitio de Red: http://www.alcancelibre.org/ 


Artículo basado sobre el publicado en inglés por Wikipedia, Enciclopedia Libre, en http://en.wikipedia.org/wiki/FHS. 


Creative Commons Reconocimiento-NoComercial-Compartirlgual 2.1 


© 1999-2016 Joel Barrios Duenas. Usted es libre de copiar, distribuir y comunicar públicamente la obra y hacer obras derivadas bajo las condiciones siguientes: a) 
Debe reconocer y citar al autor original. b) No puede utilizar esta obra para fines comerciales. c) Si altera o transforma esta obra o genera una obra derivada, sólo 
puede distribuir la obra generada bajo una licencia idéntica a ésta. Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. 
Alguna de estas condiciones puede no aplicarse si se obtiene el permiso del titular de los derechos de autor. Los derechos derivados de usos legítimos u otras 
limitaciones no se ven afectados por lo anterior. La información contenida en este documento y los derivados de éste se proporcionan tal cual son y los autores no 
asumirán responsabilidad alguna si el usuario o lector hace mal uso de éstos. 


Comparativa de algunas distribuciones de Linux I 


Distribución 

Tipo 

Usos 

Ciclo de vida 

CentOS 

Basado sobre Red Hat™ Enterprise Linux 

Mantenido por comunidad 

Gratuita 

Servidores 

Est. trabajo 

Producción 

10 anos 

■5V2 anos actualizaciones 

1 ano mantenimiento 
•3% anos parches críticos 

Red Hat™ Enterprise Linux 

Mantenido por Red Hat, Inc. 

Comercial 

Servidores 

Est. trabajo 

Producción 

10 anos 

■5V2 anos actualizaciones 
■1 ano mantenimiento 
•3% anos parches críticos 

3 anos soporte extendido 

SUSE™ Linux Enterprise 

Mantenido por SUSE 

Comerciai 

Servidores 

Est. trabajo 

Producción 

10 anos 

■7 anos actualizaciones 
•3 anos parches críticos 

3 anos soporte extendido 

Ubuntu™ Server LTS 

Mantenido por Canonical 

Gratuita 

Comerciai 

Servidores 

Producción 

5 anos 

Ubuntu™ LTS 

Mantenido por Canonical 

Gratuita 

Comercial 

Est. trabajo 
Escritorios 

Producción 

3 anos 

Ubuntu™ (estándar) 

Mantenido por Canonical 

Gratuita 

Escritorios 

Vanguardia 

9 meses 

Debian™ Linux 

Mantenido por comunidad 

Gratuita 

Multiuso 

Producción 

Sin ciclos fijos 

1 ano tras siguiente versión estable 

Fedora™ 

Mantenido por comunidad y Red Hat, Inc. 

Gratuita 

Multiuso 

Vanguardia 

12 a 18 meses 

OpenSUSE™ 

Mantenido por comunidad y SUSE 

Gratuita 

Escritorio 

Vanguardia 

36 meses 

ALDOS 

Alcance Libre Desktop OS 

Mantenido porAlcanceLibre.org 

Gratuita 

Escritorio 

Est. trabajo 

Producción 

5 anos 

LinuxMint 

Mantenido por comunidad 

Gratuita 

Escritorio 

Vanguardia 

3 anos 

Gentoo Linux 

Mantenido por comunidad 

Gratuita 

Multiuso 

Vanguardia 

Lanzamiento continuo. 

Slackware Linux 

Mantenido por comunidad 

Gratuita 

Multiuso 

Vanguardia 

Sin ciclos fijos 
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Comparativa de algunas distribuciones de Linux II 


Distribución 

Oficinas 

en 

México 

Soporte 

México 

24/7 

Certs. 

de 

software 

Certs. 

de 

hardware 

Cert. 

LSB 

Soporte 

nuestros 

documentos 

CentOS 

Basado sobre Red Hat™ Enterprise Linux 

Mantenido por comunidad 



- 


“ 

Sí 

Red Hat™ Enterprise Linux 

Mantenido por Red Hat, Inc. 

Sí 

Sí 

Sí 

Sí 

Sí 

Sí 

SUSE™ Linux Enterprise 

Mantenido por SUSE 

Sí 

Sí 

Sí 

Sí 

Sí 

Sí 

Ubuntu™ Server LTS 

Mantenido por Canonical 

No 

No 

Sí 

Sí 

Sí 

No 

Ubuntu™ LTS 

Mantenido por Canonical 

No 

No 

Sí 

Sí 

Sí 

No 

Ubuntu™ (estándar) 

Mantenido por Canonical 

No 

No 

No 

No 

No 

No 

Debian™ Linux 

Mantenido por comunidad 

No 

No 

No 

No 

No 

No 

Fedora™ 

Mantenido por comunidad y Red Hat, Inc. 

Sí 

No 

No 

No 

No 

No 

OpenSUSE™ 

Mantenido por comunidad y SUSE 

Sí 

No 

No 

No 

No 

No 

ALDOS 

Alcance Libre Desktop OS 

Mantenido porAlcanceLibre.org 

Sí 

Sí 

No 

No 

No 

Sí 

LinuxMint 

Mantenido por comunidad 

No 

No 

No 

No 

No 

No 

Gentoo Linux 

Mantenido por comunidad 

No 

No 

No 

No 

No 

No 

Slackware Linux 

Mantenido por comunidad 

No 

No 

No 

No 

No 

No 
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3. Estándar de Jerarquía de Sistema de Archivos 

Autor: Joel Barrios Duehas 

Correo electrónico: darkshram en gmail punto com 

Sitio de Red: http://www.alcancelibre.org/ 


Artículo basado sobre el publicado en inglés por Wikipedia, Enciclopedia Libre, en http://en.wikipedia.org/wiki/FHS. 


Creative Commons Reconocimiento-NoComercial-Compartirlgual 2.1 


© 1999-2016 Joel Barrios Duenas. Usted es libre de copiar, distribuir y comunicar públicamente la obra y hacer obras derivadas bajo las condiciones siguientes: a) 
Debe reconocer y citar al autor original. b) No puede utilizar esta obra para fines comerciales. c) Si altera o transforma esta obra o genera una obra derivada, sólo 
puede distribuir la obra generada bajo una licencia idéntica a ésta. Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. 
Alguna de estas condiciones puede no aplicarse si se obtiene el permiso del titular de los derechos de autor. Los derechos derivados de usos legítimos u otras 
limitaciones no se ven afectados por lo anterior. La información contenida en este documento y los derivados de éste se proporcionan tal cual son y los autores no 
asumirán responsabilidad alguna si el usuario o lector hace mal uso de éstos. 


3.1. Introducción. 

El estándar de jerarquía de archivos (FHS o Filesystem Hierarchy Standard) define los principales directorios y 
sus contenidos en GNU/Linux y otros sistemas operativos similares a Unix. 

En agosto de 1993 inició un proceso para desarrollar un estándar de sistema de archivos jerárquico, como un 
esfuerzo para reorganizar la estructuras de archivos y directorios de GNU/Linux. El 14 de Febrero de 1994 se 
publicó el FSSTND (Filesystem Standard), un estándar de jerarquía de archivos específico para GNU/Linux. 
Revisiones de éste se publicaron el 9 de Octubre de 1994 y el 28 de Marzo de 1995. 

A principios de 1996, con la ayuda de miembros de la comunidad de desarrolladores de BSD, se fijó como 
objetivo el desarrollar una versión de FSSTND más detallada y dirigida no solo hacia Linux sino también hacia 
otros sistemas operativos similares a Unix. Como uno de los resultados el estándar cambió de nombre a FHS o 
Filesystem Hierarchy Standard. 

El FHS es mantenido por Free Standards Group, una organización sin fines de lucro constituida por 
companías que manufacturan sustento físico ( Hardvvare ) y equipamiento lógico ( Softvvare ) como Hewlett 
Packard, Dell, IBM y Red Hat. La mayoría de las distribuciones de Linux, inclusive las que forman parte de Free 
Software Standards, utilizan este estándar sin aplicarlo de manera estricta. 

La versión 2.3 del FHS se publicó el 29 de enero de 2004 y es el estándar utilizado por CentOS 6, Red Hat™ 
Enterprise Linux 6 y SUSE™ Linux Enterprise 11 y versiones anteriores de éstos. 

La versión 3.0 del FHS se publico el 5 de junio de 2015 y es el estándar utilizado por las más recientes 
versiones de Fedora™ y openSUSE™, CentOS 7, Red Hat™ Enterprise Linux 7 y SUSE™ Linux 
Enterprise 12. 

3.2. Estructura de directorios. 

Todos los archivos y directorios aparecen debajo del directorio raíz «/», aún si están almacenados en 
dispositivos físicamente diferentes. 
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Directorio. 

Descripción 

/bin 

Programas binarios esenciales (como son cp, mv, Is, rm, mkdir, etc.), 

/boot 

Archivos utilizados durante el inicio del sistema (núcleo y discos RAM), 

/dev 

Dispositivos esenciales, 

/etc 

Archivos de configuración utilizados en todo el sistema y que son específicos del 
anfitrión. 

/etc/opt 

Archivos de configuración utilizados por programas alojados dentro de /opt. 

/etc/Xll (opcional) 

Archivos de configuración para el sistemaX Window. 

/etc/sgml (opcional) 

Archivos de configuración para SGML. 

/etc/xml (opcional) 

Archivos de configuración para XML. 


Directorio. 

Descripción 

/home (opcional) 

Directorios de inicio de los usuarios locales. 

/lib y /lib64 

Bibliotecas compartidas esenciales para los binarios de /bin, /sbin y el núcleo del 
sistema. /Iib64 corresponde al directorio utilizado por sistemas de 64-bit. 

/mnt 

Sistemas de archivos montados temporalmente. 

/media 

Puntos de montaje para dispositivos de medios, como son las unidades lectoras de 
discos compactos. 

/opt 

Paquetes de aplicaciones de terceros. 

/proc 

Sistema de archivos virtual que documenta sucesos y estados del núcleo. 

Contiene, principalmente, archivos de texto. 

/root (opcional) 

Directorio de inicio del usuario root (super-usuario). 

/run 

En la versión 3.0 del FHS corresponde a datos variables de ejecución. Almacena 
información acerca de el sistema en ejecución desde el último inicio, usuarios 
ingresados en el sistema y archivos de identificación de proceso (PID) de ios 
servicios en ejecución. La funcionalidad de éste directorio en ia versión 2.3 del 

FHS era la correspondiente a /var/run. 

/sbin 

Binarios de administración de sistema. 

/srv 

Datos específicos de sitio servidos por el sistema. Sólo openSUSE™ y SUSE™ 
Linux Enterprise siguen el estándar utilizando éste para alojar los directorios raíz 
de servidores HTTP y FTP —es decir /srv/www y /srv/ftp, respectivamente. 

/tmp 

Archivos temporales 
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Directorio. 

Descripción 

/usr 

Jerarquía secundaria para datos compartidos de solo lectura (Unix system 
resources). Este directorio debe poder ser compartido para múltiples anfitriones y 
debe evitarse que contenga datos específicos del anfitrión que los comparte 

cuando se hace a través de NFS. 

_ _ 

/usr/bin 

Programas binarios. 

/usr/include 

Archivos de inclusión estándar (cabeceras de desarrollo). 

/usr/lib y /usr/lib64 

Bibliotecas compartidas. /usr/lib64 corresponde al directorio utilizado por sistemas 
de 64-bit. 

/usr/share 

Datos compartidos, independientes de la arquitectura del sistema. Consiste en 
imágenes, archivos de texto, archivos de audio, etc. 

/usr/src (opcional) 

Códigos fuente. 

/usr/XHR6 (opcional) 

Sistema X Window, versión 11, lanzamiento 6. Prácticamente ninguna distribución 
de Linux lo utiliza en la actualidad. 

/usr/local 

Jerarquía terciaria para datos compartidos de solo-lectura específicos del anfitrión. 
Debajo de esta jerarquía se instala todo lo que se compile desde código fuente. 


Directorio. 

Descripción 

/var 

Archivos variables, como son registros, bases de datos, directorio raíz de 
servidores HTTP y FTP, colas de correo, archivos temporales, etc. 

/var/account (opcional) 

Procesa registros de cuentas de usuarios. 

/var/cache 

Cache da datos de aplicaciones. 

/var/crash (opcional) 

Almacén de información referente a fallas del sistema. 

/var/games (opcional) 

Datos variables de aplicaciones para juegos (mejores marcas y/o tiempos). 

/var/lib 

Información de estado variable. Algunos servidores como MySQL y PostgreSQL, 
almacenan sus bases de datos en directorios subordinados de éste. 

/var/lock 

Archivos de bloqueo de los servicios en ejecución. 

/var/log 

Archivos y directorios, utilizados para almacenar los registros de eventos del 
sistema. 

/var/mail (opcional) 

Directorio para almacenar los buzones de correo de usuarios. CentOS, Fedora™ y 
Red Hat™ Enterprise Linux utilizan —por motivos de compatibilidad de legado— la 
antigua localización —obsoleta— que corresponde a /var/spool/mail. En estos 
sistemas /var/mail es un enlace simbólico de /var/spool/mail. 

/var/opt 

Datos variables de /opt/. 

/var/run 

En la versión 2.3 del FHS es para datos variables de ejecución. Almacena 
información acerca de el sistema en ejecución desde el último inicio, usuarios 
ingresados en el sistema y archivos de identificación de proceso (PID) de los 
servicios en ejecución. En la versión 3.0 del FHS la funcionalidad de éste directorio 
se ha movido hacia /run y en éstos —para fines de compatibilidad— /var/run es un 
enlace simbólico que apunta hacia /run. 

/var/spool 

Colas de procesamiento y carretes de datos de aplicaciones. 

/var/tmp 

Archivos temporales que prevalecen después de un reinicio. 


Más detalles acerca del FHS en http://www.pathname.com/fhs/. 

3.3. Particiones recomendadas para instalar CentOS, Fedora™, Red Hat™ 
Enterprise Linux, openSUSE™ y SUSE™ Linux Enterprise. 

Si las condiciones limitan el número de particiones a utilizar, como mínimo se requieren dos particiones: / y 
memoria de intercambio. 
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El diseno predeterminado del instalador de openSUSE™ y SUSE™ Linux Enterprise utiliza 3 particiones: 


/ Asignar todo el espacio disponible de la unidad de almacenamiento. 

/home En estaciones de trabajo, a esta partición se asigna al menos la mitad del espacio 

disponible para almacenamiento. 

Memoria de intercambio (Swap) Si se tiene menos de 1 GiB de RAM, se debe asignar el doble del tamano del RAM 

físico; si se tiene más de 1 GiB RAM, se debe asignar una cantidad igual al tamano 
del RAM físico, más 2 GiB. Ésta será siempre la última partición del espacio 
disponible para almacenamiento y jamás se le asigna punto de montaje. 


El diseno predeterminado del instalador de CentOS, Fedora™ y Red Hat™ Enterprise Linux utiliza 4 
particiones: 


/boot Requiere de 200 MiB a 512 MiB. 

/ Si se utiliza el diseno de tres particiones, asignar el resto del espacio disponible en la 

unidad de almacenamiento. Si se van asignar particiones para los directorios 
mencionados adelante, se requieren de 3072 MiB a 5120 MiB. 

/home En estaciones de trabajo, a esta partición se asigna al menos la mitad del espacio 

disponible para almacenamiento. 

Memoria de intercambio (Swap) Si se tiene menos de 1 GiB de RAM, se debe asignar el doble del tamano del RAM 

físico; si se tiene más de 1 GiB RAM, se debe asignar una cantidad igual al tamano 
del RAM físico, más 2 GiB. Ésta será siempre la última partición del espacio 
disponible para almacenamiento y jamás se le asigna punto de montaje. 


Lo siguientes directorios jamás deberán estar fuera de la partición que corresponda a /, es decir, jamás se 
deben asignar como particiones separadas: 

• /etc 

• /bin 

• /dev 

• /Iiby/lib64 

• /media 

• /mnt 

• /proc 

• /root 

• /run 

• /sbin 

• /sys 


En CentOS 7, Fedora™, Red Hat™ Enterprise Linux 7, openSUSE™ y SUSE™ Linux Enterprise 12, el 

directorio /usr se puede separar como partición independiente gracias a que el proceso de arranque se encarga 
de montarla cuando es necesario. Sin embargo es preferible que /usr forma parte de la misma partición que 
corresponda a /, pues el proceso de arranque —que es gestionado por SystemD — utiliza subdirectorios de 
éste durante el inicio del sistema. 

En sistemas que utilizan SystemD hay además los siguientes cambios: 

• Directorios ocultos de /dev —como /dev/.udev, /dev/.mdadm, /dev/.systemd o /dev/.mount— 
ahora van dentro de /run. 

• /dev/shm corresponde ahora a /run/shm. 

• /var/lock corresponde ahora a /run/lock. 

• /tmp corresponde ahora a /run/tmp. 


Otras particiones que se recomienda asignar, son: 
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Requiere al menos 3072 MiB en instalaciones básicas. Debe considerarse ei 
equipamiento lógico se planee instalar afuturo. Para uso general se recomiendan al 
menos de 5120 MiB. Considere un tamano óptimo de hasta 20480 MiB. Este 
directorio sólo puede asignarse como partición independiente en CentOS 6, Red 
Hat™ Enterprise Linux 6, SUSE™ Linux Enterprise 11 y versiones anteriores de 
éstos. 

Requiere al menos 350 MiB y puede asignarse la cantidad que sea necesaria para 
satisfacer las demandas de la carga de trabajo y aplicaciones. Si —por ejemplo— el 
sistema cuenta con un grabador de DVD, será necesario asignar a /tmp el espacio 
suficiente para almacenar una imagen de disco DVD, es decir al menos 4.2 GiB — 
asumiendo que es de una sola cara y de densidad simple. Algunas distribuciones de 
vanguardia utilizan un disco RAM —o RAM disk — para este directorio con la 
finalidad de mejorar el rendimiento del sistema. 

Requiere al menos 3072 MiB en estaciones de trabajo sin servicios. En servidores 
regularmente se le asigna al menos la mitad del espacio disponible para 
almacenamiento. Este directorio sólo puede asignarse como partición independiente 
en CentOS 6, Red Hat™ Enterprise Linux 6, SUSE™ Linux Enterprise 11 y 

versiones anteriores de éstos. 

/us r/local Requiere al menos 3072 MiB en instalaciones básicas. Debe considerarse ei 

equipamiento lógico que se planee compilar desde código fuente, e instalar, afuturo. 
Al igual que /us r, para uso general se recomiendan al menos de 5120 MiB y —de 
ser posible— considere un tamaiïo óptimo de hasta 20480 MiB. 

/opt Requiere al menos 3072 MiB en instalaciones básicas. Debe considerarse ei 

equipamiento lógico de terceros que se planee instalar a futuro. Al igual que /us r, 
para uso general se recomiendan al menos de 5120 MiB y —de ser posible— 
considere un tamano óptimo de hasta 20480 MiB. 

/var/lib Si se asignacomo partición independiente de /var, lo cual permitiría optimizar el 

registro por diario utilizando el modo journal para un mejor desempeno, requiere al 
menos 3072 MiB en instalaciones básicas. Deben considerarse las bases de datos o 
directorios de LDAP que se planeen hospedar a futuro. 

/var/ftp o /srv/ftp Corresponde al directorio raíz de los servidores FTP. CentOS, Fedora™ y Red Flat™ 

Enterprise Linux utilizan /var/ftp, mientras que openSUSE™ y SUSE™ Linux 
Enterprise utilizan /srv/ftp. Asignar como partición independiente cualquiera de éstos 
directorios permite optimizar el registro por diario —utilizando el modo writeback — 
para mejorar el desempeno e impide que ocurra una denegación de servicio en el 
sistema al llenarse la partición por permitir subidas de datos por usuarios anónimos. 
Requiere al menos 3072 MiB en instalaciones básicas. Deben considerarse los 
anfitriones virtuales, apiicaciones y contenido para ser servido a través del protocolo 
FITTP, que se planeen hospedar a futuro. 

/var/www o /s rv/www Corresponde al directorio raíz de los servidores HTTP como Apache. CentOS, 

Fedora™ y Red Hat™ Enterprise Linux utilizan /var/www, mientras que openSUSE™ 
y SUSE™ Linux Enterprise utilizan /srv/www. Asignar como partición independiente 
cualquiera de éstos directorios permite optimizar el registro por diario —utilizando ei 
modo writeback — para mejorar el desempeno. Requiere al menos 3072 MiB en 
instalaciones básicas. Deben considerarse los anfitriones virtuales, aplicaciones y 
contenido para ser servido a través del protocolo HTTP, que se planeen hospedar a 
futuro. 


/usr 


/tmp 


/var 


3.4. Bibliografía. 

• secure.wikimedia.org/wikipedia/en/wiki/Filesystem_Hierarchy_Standard 
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4. Preparación de máquina virtual para curso CentOS 7. 

Autor: Joel Barrios Duehas 

Correo electrónico: darkshram en gmail punto com 

Sitio de Red: http://www.alcancelibre.org/ 


Creative Commons Reconocimiento-NoComercial-Compartirlgual 2.1 


© 1999-2016 Joel Barrios Duenas. Usted es libre de copiar, distribuir y comunicar públicamente la obra y hacer obras derivadas bajo las condiciones siguientes: a) 
Debe reconocer y citar al autor original. b) No puede utilizar esta obra para fines comerciales. c) Si altera o transforma esta obra o genera una obra derivada, sólo 
puede distribuir la obra generada bajo una licencia idéntica a ésta. Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. 
Alguna de estas condiciones puede no aplicarse si se obtiene el permiso del titular de los derechos de autor. Los derechos derivados de usos legítimos u otras 
limitaciones no se ven afectados por lo anterior. La información contenida en este documento y los derivados de éste se proporcionan tal cual son y los autores no 
asumirán responsabilidad alguna si el usuario o lector hace mal uso de éstos. 


4.1. Procedimientos. 


Descargue e instale VirtualBox. 

Genere una nueva máquina virtual haciendo clic en el botón «Nueva». 

Defina CentOS7 como nombre de la máquina virtual. Deberá definirse automáticamente el tipo de sistema 
operativo (Linux) y el sub-tipo (Red Hat). Al terminar haga clic en el botón «Siguiente». 



Nombre y sistema operativo 

Seieccione un nombre descriptivo para la nueva máquina virtual 
y el tipo de sistema operativo que tiene intención de instalar en 
ella El nombre que seleccione será usado por VirtualBox para 
identifîcar esta máqulna. 


Nombre: |CentOS7| 

-> - p HU --- 

. } 

Iipo^linaL _ 

, niirfr 

■■m 


Vtersión: +*«**i'ýj ijyj <j 


Ocultar descnpciOn 


Cancelar 
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Defina 1024 MB RAM como mínimo. Al terminar haga clic en el botón «Siguiente». 


Tamano de memoria 

Sefecciono la cantidad de memona (RAM) en megabytes a ser 
reservada para la máquina virtual. 

El tamano de memona recomendado es 512 MB 

-“ 11024 ' MB 

rTY . 1,11 — 

<1 MB _ 4096 MB 




La casilla de «Crear un nuevo disco duro virtual ahora» deberá estar habilitada. Al terminar haga clic en el 
botón «Siguiente». 



Unidad de disco duro 

Si desea puede agregar una unidad de disco duro virtual a la 
nueva máquina. Puede crear un nuevo archivo de unidad de 
dísco duro o seleccionar uno de la lista o de otra ubicación 
usando el icono de la carpeta. 

. Si necesita una conhguraciûn de almacenamiento más compleja 
puede omibr este paso y hacer los c;.mbit ‘J Û la configuración de 
la máquina virtual una vez creada. 

El tamarto recomendado de la unidad de disco duro es 8.00 GB 

No agregar un disco duro a la máquina virtual 
9 Çrear un dtseo duro virtual ahora 
0 Usar un archivo de disco duro virtual existente 


< Antenor 



Cancelar 
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La casilla de formato «VDI (VirtualBox Disk Image)» deberá estar habilitada. Haga clic en el botón 

«Siguiente». 



Tipo de archivo de unidad de disco duro 

Seleccione el tipo de archivo que le gustarfa usar para la urndad de disco duro 
virtual Si no necesita usarta con otro software de virtualuación puede dejar esta 
preferencia sin cambtar 

# VDI (VirtualBox Dtsk Imagel 

r VMDK (Virtual Machirve Disk) 

VHO (Virtual Hard Disk| 

^ fca iP.tr *a Hiiid DivU) 

OED (OEMU ehharu.eddisH 

OCOW (OtMU Copy On-VVntel 


Ocultar descnpoon 



Unctiv 


La casilla de «Reservado dinámicamente» deberá estar habilitada. Haga clic en el botón «Siguiente». 



Almacenamiento en unidad de disco duro físico 

Selecoone si el nuevo archrvo de unidad de disco duro virtual debena crecer 
según se use (reserva dinamica) o si detoeria ser creado con su tamarto máximo 
(tamaho fijo). 

Un archivo de urvdad de disco duro reservado dinámicamente soio usarí 
espacio en su disco duro hsico a medida que se llena Uiasta el máximo tamano 
fijo). aunque no se reducirá de nuevo automáticamcnte Uando el espacio en él 
se libere 

_ Un trchivo dv urudad de dtsco duio dr tamano hjo puede lievar crearlo mks 
tsompo en alqunos ftstefnas p< 10 normalmente es mkf rapirio al usarto 

• u'-.amit amAnti ™ " 

r TSrnano fiio 
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Defina un tamano de 80.00 GB para el nuevo disco duro virtual. Al terminar haga clic en el botón «Siguiente». 


Ubicacion del archivo y tamano 



Escnba el nombre del archrvo de unidad de disco duro virtual en la caja de abajo 
o haga díc en el rcono de carpeta para seleccronar una carpeta diferente en la 
que crear el archrvo 

CentOS 7 2 

Seleccione rl tamarto de la rmagen de unrdad de í'mu virtual en megabytes 
Esto detcrmmarí la cantidad límite que la máqvLt* yi *ml pnpiá almacenar en la 
unidad de disco duro '. iTcJ / 


- - | 80 00 G81 

4 00MB 7 00 TB 


< Antenoi 



Canceiar 


Regresará a la ventana principal de VirtualBox. Seleccione la máquina virtual que acaba de crearse y haga clic 
en el botón «Configuración». 
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Haga clic en «Red». El «Adaptador 1» deberá estar habilitado pero conectado a «NAT». Cambie a 
«Adaptador puente». 



Habilite el «Adaptador 2» y defina que esté conectado a «Red interna». En el campo de «Nombre» defina 
«loc». 
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Habilite el «Adaptador 3» y defina que esté conectado a «Red interna». En el campo de «Nombre» defina 
«dmz». Al terminar haga clic en el botón «Aceptar». 



Regresará a la ventana principal de VirtualBox. Seleccione la máquina virtual que se acaba de configurar y haga 
clic en el botón «Iniciar» cuando esté listo para iniciar la instalación. 



Por favor continúe con con el documento titulado «Procedimiento de instalación de CentOS 7 con LVM». 
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5. Procedimiento de instalación de CentOS 7 con LVM. 


Autor: Joel Barrios Duehas 

Correo electrónico: darkshram en gmail punto com 

Sitio de Red: http://www.alcancelibre.org/ 


Creative Commons Reconocimiento-NoComercial-Compartirlgual 2.1 


© 1999-2016 Joel Barrios Duenas. Usted es libre de copiar, distribuir y comunicar públicamente la obra y hacer obras derivadas bajo las condiciones siguientes: a) 
Debe reconocer y citar al autor original. b) No puede utilizar esta obra para fines comerciales. c) Si altera o transforma esta obra o genera una obra derivada, sólo 
puede distribuir la obra generada bajo una licencia idéntica a ésta. Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. 
Alguna de estas condiciones puede no aplicarse si se obtiene el permiso del titular de los derechos de autor. Los derechos derivados de usos legítimos u otras 
limitaciones no se ven afectados por lo anterior. La información contenida en este documento y los derivados de éste se proporcionan tal cual son y los autores no 
asumirán responsabilidad alguna si el usuario o lector hace mal uso de éstos. 


5.1. Procedimientos. 

5.1.1. Planeación. 

Antes de comenzar, determine primero los siguientes puntos: 

• Finalidad productiva. óVa ser un servidor, estación de trabajo o escritorio? <í,Qué uso va tener 
el equipo? <í,Qué servicios va a requerir? Idealmente lo que se establezca en este punto debe 
prevalecer sin modificaciones a lo largo de su ciclo productivo. 

• Ciclo de producción. óCuánto tiempo considera que estará en operación el equipo? <i,Seis 
meses, un ano, dos anos, cinco anos? 

• Capacidad del equipo. cuántos usuarios simultáneos se brindará servicio? <i,Tiene el equipo 
la cantidad suficiente de RAM y poder de procesamiento suficiente? Para la mayoría de los 
servicios —correo electrónico, servidor HTTP o FTP, proxy-cache, etc.— se recomiendan al 
menos un CPU lógico y 4 GB RAM por cada 50 a 100 usuarios concurrentes. 

• Particiones del disco duro. Determine cómo administrará el espacio disponible de 
almacenamiento. Para más detalles al respecto, consulte el documento titulado «Estándar de 
Jerarquía de Sistema de Archivos». 

• Limitaciones. Tenga claro que CentOS —al igual que sucede con Red Hat Enterprise Linux — 
es un sistema operativo disenado y enfocado específicamente para ser utilizado como sistema 
operativo en servidores y estaciones de trabajo. Salvo que posteriormente se anada algún 
almacén YUM como EPEL, Remi, AL Server o RPMFusion, este sistema operativo carecerá de 
soporte para medios de audio y video en formatos privativos —como ocurre son el soporte para 
MP3, DivX, H.264, MPEG, etc.— y que sólo incluye Softvvare Libre que se encuentre exento de 
problemas de patentes en EE.UU. 

Obtención de los medios. 

Descargue la imagen ISO del DVD de CentOS 7 para arquitectura x86-64 desde algunos de los sitios espejo 

que encontrará en el siguiente URL: 

• http://mirror.centos.Org/centos/7/isos/ 
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5.1.2. Instalación del sistema operativo. 

Inserte el disco DVD de instalación de CentOS 7 y espere 60 segundos para el inicio automático o bien pulse 
la tecla ENTER para iniciar de manera inmediata o bien pulse la tecla «TAB» e ingrese las opciones de 
instalación deseadas. 


CcntOS ? 


Install CentOS ? 

Test this media A install CentOS 7 


Troubleshooting 


Outonatic boot in 51 seconds. 
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Se realizará automáticamente la verificación del medio de instalación. Puede omitirse este procedimiento 
pulsando la tecla ESC. 


Ju X 

[ 0.0000001 tsc: Faxt TSC ralibrdtion failed 

I K J Startcít S'huw Plgnonth Boot Scrtcn 

I K ) HrAr.hed t«rgct Patlis. 

[ K 1 ReAchcd tflrgct Basìc Systcn. 

drAcut lnltqum(S63i: nount: /dcv/srO Is ur Itc protcctcd. muntlnq rt«d onlg 
[ 0K J Startedi Shou PJgnauUt Boot Screen. 

I 0K J Re«chcd Urqet P«ths. 

I K J ReAched t«rget BasIc S»;sten. 

Jrncut - ini tc|ticuel5631: nount: /'dev/srô is urite prutctilrd. nounting rc^it-^nly 
Startlng ftedla cliech on /deu/srO... 

/deu/srO: Hbíhh71hfbMOO« J 4Zbd7Hí íc:200U! 11 Ç OÌIJ 

rr. v wnt nm: Mr 3 ft*racZb 7 c 53 Z 31 c 3 « 25 «i 5 cnM.lailc 76 «MiMlZ 1 f.U'*.l 5 h«bìfrr - 
Fragnent count: 20 
Press [Cscl to abort claeck. 

Cliecblng: 03S,S>:_ 


Se mostrará la pantalla de bienvenida de CentOS 7 en inglés. 



CentOS 


WELCOME TO CENTOS 7. 

WT\j? ;«ngu«9( woUd you Uke lo u»e dirnç th« *ut «Uctton pro<mf 




Afrfcaans AfnLxtn* 

Amtxtnc 

fngifift (Unt«d Kngdom) 

fnglnh (indu) 

EnçLoti (A'ttMU* 1 

««>01 4raeoc 


«snnlTtn 4ssvnesc 

tnçhíh 

ASturtdTM 4f|u riprt 

tngtah (lreJanú) 

&«.■ jp, utt fíi’torvson q p 

Engttsh |N«w Zraiandl 

Bvvapcx* ffuftpnjn 

FngLtth (NtgtfU) 

4tCítT fíintiMi tc' 

fngirsh (Hong Kong SAR Chru) 


fng>tvh (Pvatpp<n*i) 

Bos*nsKi fíovxan 

Cotafi CJtJÍJn 

tnçlnJi (Sng^»>«) 

fngLtth (South Afr<«) 

trítmi Ctech 

Lngitth (Zaniba) 

CymrMg VVeftfi 

Engttth (2*hbabw«) 

DanU (>*msh 

fngUsh (Botswan») 


O 
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Defina Espanol como el idioma a utilizar y la localización específica de su país. El idioma de la interfaz 
cambiará automáticamente al espanol. Al terminar pulse el botón Continuar. El mapa de teclado se asignará 
automáticamente después de este paso. 


CcntOS 


INSTAUOON OE CtNTOS 7 


ol 


BIENVENIDO A CENTOS 7. 

( Qu* td tonx» 1« uti(i24r dur«r*« «1 procctc d« 

Eip«Acrt (EipiA»! 

Elp«Acrt (Hooòur Ji) 

EipjAot (V*r»iw*t4) 

Evp«Acrt 
Evp«Ar«< 

EvpaAcrt (P«í« 9 uiy) 

Evpirv;.: i i Heptí»t*c«Oomr»c4 r u > 

Evpjflert (Ecu«Òor) 

Evp«Acrt (P««C0 


Cvp«Aoi (Mtnco) 



Gftt A 

| EtpjiVrt 

SpMMitì >■ 

Etvtl 

Esronim 

Euvk*r« 

Rjsque 


Ptfíéjn j 


hn<«* ^ . 1 

ir { 

'rfc%> 

G«(«9o 

GMtCiùfí 


Gíují^u « • i 1 

sfTpû j n w 

rrSip 

£i*óftw ' || 

M 

Htoôé * 

Hrvvtvài 

Crojfun 

Mj$Y«r 

HuftÇêfìMÌ 


Armenutfí 



Evp*Acrt (P«n«nvè) 

E vp*Aoi (Puerto fbco) 
Evp«Acrt (lvt«dov Urvdov) 
Evp«Aoi (Cortomba) 
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A continuación aparecerá la pantalla de resumen de la instalación. Puede seguir el orden que guste para cada 
una de las secciones. Una de las omisiones más típicas es configurar los dispositivos de red y activar éstos, por 
lo tanto conviene hacer clic en el icono correspondiente a RED Y NOMBRE DE HOST y de una buena vez 
configurar y activar los dispositivos de red. 


Rí SUMf N DE L* INSTALACION 




CcntOS 


REGIONALIZACION 


FECHA & HORA 

nufo hcfêfto 

SOPORTE D€ ICMOMA 

Bipcrtoi (Méuto) 


SOFTWARE 


íNSTALAClON D€ CINTOS 7 

C9 


TECLADO 

Fspjfìot CttTtUâno (F t(lctnojtnitteofìo 


FUENTE DE INSTALACIÓN 
Mtt 

SISTEMA 


SttCCCIÓN DC SOFTWARE 
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Aparecerán los dispositivos de red del sistema. Seleccione el primer dispositivo y haga clic en el botón 

Configurar. 


ftCD Y NOM6RE DE MOST 

INSTAIACION D6 CtNTOS 7 

m 




Aparecerá una ventana que permitirá realizar los ajustes pertinentes. Haga clic en la pestana Ajustes de IPv4. 


WD Y NOHBftE DE MOST 'NSTALAClûN D€ CÍNTOS 7 



Gww ti C»6W«d* ^«9^4*4 002.lx DCB A^ttn Pv4 d« Pv< 


D#»<r>Cn MAC d«l 00-00 2740 81-41 



60 










Joel Barrios Duenas 


Configuración de Servidores con GNU/Linux 


Configure lo necesario para establecer conectividad. Al terminar haga clic en el botón Guardar. 


»€D Y NOM0RE DE MOST 

iNSTAUOON 0€ CINTOS 7 

■1 




, Eth«#nol (onpOi3) 

y Etntr nrt (enpO*0> 

C)<l<ON<tKto 

jp | Ettiernet |enpOs9) 

NN«ti4otfffOlS 


Mo»nèr* d* U cotmmdo T^-rr 




Ck»*#4d« ï«9.r<MM2.U DC0 V*í**d*#vl d« Pv4^ 




Método. AutomMxa (DMCP) 1 






Sorv*do»** Cfts *ÒK»C>rv**r» 


D«r*no« d» tvviued* a*ooo«E«( 


O d*l OMCP: 





♦ 


Nonbri 4« 


Regresará a la pantalla de RED Y NOMBRE DE HOST. Haga clic en el botón que habilita la interfaz y que 
encontrará en la parte superior derecha. 


RED Y NOMBRE DE MOST 

INSTAUACION D€ CCNTOS 7 

■ 
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Configuración de Servidores con GNU/Linux 


Si configuró la interfaz por DHCP, deberán aparecer automáticamente los datos de la conexión luego de unos 
segundos. Al terminar haga clic en el botón Listo que se localiza en la parte superior izquierda de la pantalla. 


RCO V NOHBRE DE HOST 

NSTALACiON D6 CCNTOS 7 

■i 



3 Etttcrnet (mpOi-8) 
> Ethernet (enpO*9) 


. Etheenot (onpOi3) 

C«nm«do 

o* >+*a*** oa 0027 toi) «1 
Viloodld lOOOMVi 

192 16 « 7021 

Mki<w* 4 » wtr»d 255 í» 215 12« 

192 168 70 2 ' ■ \ 

DN 5 192 1 M 70 » ’• : 


Non6ri ót mèqi 


n})it<m4Unwf 


Regresará a la pantalla de RESUMEN DE LA INSTALACIÓN. Haga clic en el icono de FECHA & HORA. 


BESUMfN DE LA INÍTALACIÔN 


♦ 


CentOS 


REGIONALIZACION 


FECHA & HORA 

ftu«o hoetfto Am 4 fKè /Mjfjr 

SOPORTE 0 « ICXOMA 

fspatVX (Méxtco) 


BOFTWARE 


FUíNTC DE INSTALACIÔN 


INSTALAOÛN D€ CtNTOS 7 

Q UtlM 


TCCLADO 

ftpjrt*. ÇnrtUtno (E l W irjïnojff tftcono}} 


SEIECCIÓN DC SOFTWARE 


BISTÉMA 

DEST1NO DE LA INSTALACIÔN 

A m .. . , . . 



Ctn *lw*<« *wi«4h «an «n« ««*♦ *mh 6t <**«ai*< <o* «4 t*j**»*<» e*to 
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Configuración de Servidores con GNU/Linux 


Confirme o modifique el huso horario que corresponda a su región geográfica. 



De ser necesario, modifique la ciudad a la que corresponda a su localidad. Al terminar haga clic en el botón 
Listo que se localiza en la parte superior izquierda de la pantalla. 
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Configuración de Servidores con GNU/Linux 


Regresará a la pantalla de RESUMEN DE LA INSTALACIÓN. Haga clic en el icono de TECLADO. 


RCSUMCN DE LAINSTALACIÔN 


INSTALAOÔN 0€ ttNTOS 7 

B Ut«m 


CcntOS 


Irêgionalizacion 


liliiilil 


SOPORTC DC IW0MA 

£sp«tol (Métxo) 


|SOFTWARE 


TtCLADO 

CâtrtUsno (E tnctno) 


roïNTî de instalaci ôn 


SELECCIÓN OC SOFTVVARE 


ISIbTEMA 


A 


DESTINO DE LA INSTALACIÓN 


RED y NOMBRE D€ HOST 

Conrtiófi (ffpOtì) (ooKf*tf# 


Co*»Ut« u» *!»*••*«.* «♦* «M* «•*+ 4 * <*«***•< «O* •< i*h*rN« M tO 


Realice los ajustes que considere pertinentes en caso de ser necesario. Es importante elija el mapa de teclado 
que realmente corresponde a fin de poder hacer uso correctamente de todas las teclas de éste. 


OlSCftO DEL TECLADO 


•NSTALACIÛN D€ CtNTOS 7 

^Oué dntAji df (Kl«do dnurii uv«r eo ntt I*vk 

le (foïtr cu«lqu»«r ôn*f*> d* tedido «1 

coflu««zo de l« ltvt« p*r« qve ve« «t 

p«edetefmn»do 




*•!»•# I* 4* U «M 
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Configuración de Servidores con GNU/Linux 


Determine primero el mapa de teclado utilizado antes de continuar con el proceso de instalación. 
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Mapa de teclado latinoamericano. 
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Joel Barrios Duenas 


Configuración de Servidores con GNU/Linux 


Una vez determinado el mapa de teclado correcto, haga clic en el botón +, Aparecerá una ventana de diálogo. 


CMSCNO OEL TECLAOO 




Si es necesario, anada el mapa de teclado que considere pertinente y haga clic en el botón Anadir. 


D*SCNO OEL TECLADO 
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Configuración de Servidores con GNU/Linux 


Regresará a la pantalla de DISENO DE TECLADO. 


(XStNO OCL TtCLAOO 

‘NSTAlACiON 0€ CINTOS 7 

■ 



( Qvt dxcAos ót ttatdo ónttfi « uvr «n «»i« Pu«Or mov«r cu«(qu»r «M«fto 0« miêóo «t conu«n20 ót 1« l»î« p«r« çut i «« «1 

pradtttmMd» 

U ò* U «b«y» 


eli 



1 iptAol C*U«U«M |l tp»Ao4 
ftp*Ao< CMCtllarM (f tptnoU 


qIcqpm 
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Configuración de Servidores con GNU/Linux 


Para definir el mapa de teclado que prefiera como el predeterminado, sólo seleccione éste y haga clic en el 
botón para subir éste al inicio de la lista. Si desea configurar un atajo de teclado para conmutar entre mapas de 
teclado disponibles, haga clic en el botón Opciones que está del lado derecho debajo del campo utilizado para 
hacer pruebas. 


DtSíftOOeL TÏCLADO 




1NST*LACI0N DE CCNTOS 7 

■ 





vOué OnfAov 69 ItfXtío drifárC 

s uv*r pintr 


VMT drtr/V) 69 «t COTfi 

«ruo 69 1 « Djr* Gvf 1*9 rt 

prcdctcrvnnado. 
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Configuración de Servidores con GNU/Linux 


Aparecerá un diálogo que le permitirá seleccionar una combinación de teclas para conmutar entre mapas de 
teclado. Utilice el sentido común y evite definir combinaciones que le dificulten trabajar. Al terminar haga clic en 

Aceptar. 



/QlM OîfAn <A4f m filf MltnM? Pu*4( AOrtf tUAIQlMT &t#Ao df fftífdO tf Ot U |I|U P#* <Vw*f tff M 

prfdftimnHtd 
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Configuración de Servidores con GNU/Linux 


Regresará a la pantalla de DISENO DE TECLADO. Haga clic en el botón Listo que se localiza en la parte 
superior izquierda de la pantalla. 


tXStNODeL TtCUAOO 



INSTALAClON oe CtNTOS 7 

( Qvt úatAjs ót (ec1«óo dntirii v 

rver pmt» snlín*? Puedemov. 

tt cuMquitr d rtefto de tectedo «4 <i 

onuenzo de 1« lnt« p*r« qve vee ei 

p»edelermn»do 


er*b«* i* (toeouttï* a* u 





♦ - * V B 


Regresará a la pantalla de RESUMEN DE LA INSTALACIÓN. Haga clic en el icono correspondiente a 
SELECCIÓN DE SOFTWARE. 
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Configuración de Servidores con GNU/Linux 


Prefiera realizar Instalación Mínima. Es lo más conveniente si se quiere establecer un nivel de seguridad 
adecuado y se quiere evitar instalar componentes innecesarios para la finalidad productiva del sistema. Puede 
elegir otro tipo de instalaciones si así lo considera pertinente. Explore y examine las opciones disponibles. 


StLECOON OC SOFTWARC 

WSIALAClON D€ CÍNTOS 7 

■I 

cn^m 


Erxorno 



4» Mfr«»«rurtM* 


SrtvMor y «r«hl*o 4« mfrttca 



S*rvl4or w»h hltlco 


Ko«t 4« >rt»*Ur*t»f» 

H«it yvtiMbraoòn èè^*« 

S»rv4w <«• (bUl 

Irmt'Mtid» 4« r«itr» «« «*v* 

«Jtnrrti «vuMrv» y I4cá 4« 

t icrtons Ono«M 


Itfiun 4« tr«4«io KOC 






D«Mrro4>y«tt»(Do 4* l'«h«io (r«*thr« 

... 
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Joel Barrios Duenas 


Configuración de Servidores con GNU/Linux 


Una vez realizada la elección del entono base, haga clic en el botón Listo que se localiza en la parte superior 
izquierda de la pantalla. 


SCLECCION oe SOPTWARE 

INSTALAClON 0€ CtNTOS 7 

■ 

cn^m 


Ertorno Comp<tm«rcoi otr» Eniorno S«<e«tonoòo 



BAM»(«t («kih<BU» 


r«»tfM ♦* «*»ti4»itt 

ìtrvtoi 4» •tfr*»«*rurtu»« 


M*OWH 4t CMOi iMM 



îr*»to» y rtthlvo 4« ènf»«wa 

Hi"*iM«t«* 4« Hurrctlo 

l>i Hom» 4« tfn«r«tlo b*tK o 





SopMt* H'* l«»Ktf« »Mrl«jrM« 



Srrvto» wrè kètiw 





A^» ||^ T J T■“ 





Ko»< 4« tHv»Iic»(I&o 

H«l( 4t r»tMlilK4n j>|i « 





WtT<èM («t Ml 

Vt»«»A*r f*r» t«W*3t 4* * 

ticrtoro 0 mm 





».• »'»rr»t •ViMiro y f *< < 4« 




(MM|4r 




A l«4«|o rU»»M KOC 






twWy» in «***< *ti»*t»i* 








D«»»rrt4o y »it»rrm 4« tt«H|o Otrlhf* 

d» iraMfe p«<t tolNmr. H«»4«*»«. |»M(M • tfrtfiolin 








Regresará a la pantalla de RESUMEN DE LA INSTALACIÓN. Haga clic en el icono correspondiente a 

DESTINO DE LA INSTALACIÓN. 



RtSUMtH DE LAINSTACACIÔN 


CcntOS 


REGIONALIZACION 


FECHA & HORA 

rnjfc hofêm AméfK*/CÂjó*d dt M4nco 


SOPORTE 0€ ICXOMA 

Ssçcfat (Mttxo) 

SOFTVVARE 

FUÍNTt oe INSTALACIÓN 

BISTEMA 

DEST1NO OE LAINSTALACIÔN 


INSTAIAOON D€ CENTOS 7 


TECLADO 

fspjftx'. CfittUtno (E fíot (Ijtnojtntrxtno)) 


RED Y NOMBRE D€ HOST 

Conrt&i cjbiejdj (trçOtì) tontttAdt 


t <*« *t1» N 


• il l« N*t« Hlt 
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Configuración de Servidores con GNU/Linux 


Aparecerá la pantalla de DESTINO DE LA INSTALACIÓN. Seleccione o confirme la unidad de almacenamiento 
donde se realizará la instalación. Si hace clic en botón Listo se crearán automáticamente las particiones /boot, 
/, /home y la correspondiente a la memoria de intercambio, esquema donde a la partición /home se le asignará 
la mayor parte del espacio de almacenamiento disponible. Este esquema es adecuado para escritorios y 
estaciones de trabajo pero probablemente sea inadecuado para la mayoría de los escenarios correspondientes 
a un servidor. 


DCSTINO DE LA INSTALACIÒN 

■NSTALACiON D6 CCNTOS 7 

■ 



S*t*cdòn d« dhspositJvos 

Sttfccco» los áspovcrros cn qut (• gustjria St manttndrAn sn tocar ntsta q-j* pulsc «t botôn «Comcrucr ratdcoòn» dd mcni 

prrvtpd 

«CÌfi4«C*> Um*W» 


61 9 2 OB 

•c 

ATA VBOX HARDOISX 

sdj / 01 92 GB Ubrc 


Dn<m «•f«ii*ic*4M y 4* r«4 


t .-i ciicsi î-u* i« 4ful *n aiOccasmr m i« recirln 

AAadir un divco.. 





Otras opc&on+s do atmaconamionto 
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Joel Barrios Duenas 


Configuración de Servidores con GNU/Linux 


Vaya aproximadamente a la mitad de la pantalla, específicamente a la sección Otras opciones de 
Almacenamiento y seleccione Voy a configurar las particiones. Al terminar haga clic en el botón Listo que 
se localiza en la parte superior izquierda de la pantalla. 


OCSTINO OE LA INSTALACIÔN 

INSTALACION D€ CtNTOS 7 

■ 

cn^m 


Selecciôn de dHpodtivos 

Setecciooe los (Hpovcreos en que U çusurie msteier St mentendrArt sn tocer n»ste Q-je putse «i botOn «Comeruer rauteoûn» det meni 


IMM»t lfK*W« 



if r«> 


Otras opOonos do atmaconamtonto 

rl M*1>o«n«<e Miit t ltnfnn O V*y » i p H l f r » lr» i>*»i 
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Configuración de Servidores con GNU/Linux 


Aparecerá la pantalla de PARTICIONADO MANUAL. Elija el esquema de particionado con LVM y haga clic en 
el botón +. 


PART1CIONAOO MANUAL 

'NSTJtACrON « CENTOS 7 

- Ntx-va instaLad6n do C#ntOS 7 


Ho «*# u«*de ***• 

n pMXO 4« PM • \*j 


«<M«Im4a («mOS 

7<U«ii* P««ò« 


• Cr»tf rutioi pw 

KM òi i«úK«« p«ái«ndo «1 


bMÒ* V 



Nufio» p«Mct ô* 

noK«|t uMrltròn *« MfMfO 


«1« p«rtt* 

MHl 


LVH 




[» I u d* |u(mI0S 7, po») .*/ lw« 


C u 



Aparecerá una ventana de diálogo para agregar un nuevo punto de montaje. 



AGREGAR UN NUEVO RUNTO 0£ MONTAJC 


r . -'j -r t I r^Ajl » 

v-.| rrj- * . f- - ~ , 1 * irj'," 

C«p*( -<•« #•!••«> 



I tirff-i ■> *-r.rr-r«e ^ <«• 
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Joel Barrios Duenas 


Configuración de Servidores con GNU/Linux 


Si el sistema utiliza EFI/UEFI defina biosboot en Punto de montaje y asigne exactamente 1 MB en 
Capacidad deseada. Al terminar haga clic en el botón Agregar punto de montaje. Si el sistema utiliza BIOS 
en lugar de EFI/UEFI, omita por completo este paso. 


AGREGAR UN NUEVO PUNTO OE MONTAJt 

Hjbri mit oo<ien«t d* B«r«on«tiJ*cián 

. ! 



»«(«(« 

| ** 

Cap*cN«»d *••••«» 1" 


ìlc^j 



îò 


Aparecerá la nueva partición en la lista del lado izquierdo de la pantalla. Flaga clic nuevamente en el botón +. 


PARTICIONAOO MANUAL 


iNST*í.ACK3N OC CENTOS 7 

Nocvj mstal»d6n do CcotOS 7 

idal 


btotboot ÌHI Q 



■M 




C«p»cMé4 1MB 

T^O «c Stfm «IM: P«rtKK»* llUnl«r ■-£. V Cdrai 

4* «rckKiM. MOS Â w J 

Nots t*t cmMi mi riti f'íçms *o ir«| 

Miti |ur fMÌu «t botàn «C «n « r mr nininvú» «n «( nm< 


♦ - Jí o o 


■llMCOrOUt 

81 91GB 18192 GB 
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Configuración de Servidores con GNU/Linux 


Nuevamente aparecerá una ventana de diálogo para agregar un nuevo punto de montaje. 


Nuvva mtalxlòn d* C«ntOS 7 


1 H 6 


iBMaiÉi 

1 Mt 

AGREGAR UN NUEVO RUNTO OC MOPíTAJC 

I HjbrA mit 09000*% d» p*f oonolUMnn átponètti 
I â*tpi>«t 3 * <r**r *t punto < 5 * montjf* d* 

I "n«Uf* I 


î/ e u 


Defina /boot en Punto de montaje y asigne al menos 200 MB en Capacidad deseada. Al terminar haga clic 
en el botón Agregar punto de montaje. 


PARTICIONAOO MANUAL 


Nwvva nital-xlòn d* CcntOS 7 


sríal 



1M» n __ 

ctN**t*i 


C*f»u4«4 4*M*4» 1MB 

AGREGAR UN NUEVO PUNTO OC MONTAJC 

Hjbri màt 09000*% d* p*r%on*ti}«o&n tS%pco*<*% 



i*«t«4» nmUf*' 
C*f*it4*4 4*i**4> 


- íí O B 


S 191 G 0 10192 60 
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Joel Barrios Duenas 


Configuración de Servidores con GNU/Linux 


Regresará a la pantalla de PARTICIONADO MANUAL. Haga clic nuevamente en el botón + para abrir de nuevo 
la ventana de diálogo para agregar un nuevo punto de montaje. 


PARTìCIONAOO MA> 4 UAL 



Nvvva wstal»d6n d« C«ntOS 7 





btosboot 



1MB 


ÎOOH» I 



AGREGAR UN NUEVO RUNTO Ot MONTAJC 

KabrA mà\ oçk*c r»*» d» p#»cooalu*c«òo 



óaipoét ó» irmm «t punto á» montjya d* stnf o 

4- | 



Cap»r >4*4 4*m«4i. 



C«V«U< | 



- X o u 


01.71 GO 16192 60 
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Joel Barrios Duenas 


Configuración de Servidores con GNU/Linux 


Defina / en Punto de montaje y asigne 10 GB en Capacidad deseada. Al terminar haga clic en el botón 
Agregar punto de montaje. Gracias a gue el punto de montaje será creado utilizando LVM puede 
despreocuparse respecto de si es muy poco el espacio que se ha asignado debido a que posteriormente podrá 
incrementar fácilmente el tamaho de éste y otros volúmenes lógicos utilizando system-config-lvm o bien 
Ivresize y xfs growfs. 


Nuvva mstal*d6n d« CcntOS 7 


ÌHB f 4 .-u,o« 

tllfOTtel 
CMftièmé OTMate ÍCOM# 

AGREGAft UN NUIÎVO RUNTO OC HONTAJC 

I Mjbri mit eŷoco,t d# p#« tooaliî*c«óo dtponMot 
I dttpuét ô* cr»*r «t punto <â* d* j£>jp 

l f•»*«♦ 4» |j 

[ C«pt(4*4 


c O* ihn« 




79 












Joel Barrios Duenas 


Configuración de Servidores con GNU/Linux 


Regresará a la pantalla de PARTICIONADO MANUAL. Observe que del lado izquierdo de la pantalla irán 
apareciendo por categorías una por una las particiones y volúmenes lógicos que se vayan agregando. En la 
parte inferior izquierda se mostrará el espacio disponible que va quedando tras afíadir cada partición. Del lado 
derecho se podrán modificar opciones de las particiones. CentOS 7 utiliza el formato xfs para el sistema de 
archivos. Puede seleccionar otros formatos como ext3 y ext4 si así lo prefiere. Haga clic nuevamente en el 
botón +. 


PARTICIONAOO MANUAL 

INSTAUAUON « CENTOS 7 

■ 

uxmm 


- Nvrva «ostaUciòn d» C«ntOS 7 


c»nto»_m23-r<H)t 


btosboot 

lád 

/boot 

f 



-ï\r-r ■ 


l*o «p4«arAn 


knm fvf ptdi» H b Hó* lurjúaÁm «i 


o u 


isMoororu. 

81 92 GB 
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Configuración de Servidores con GNU/Linux 


Aparecerá nuevamente la ventana de diálogo para agregar un nuevo punto de montaje. 


Nuvva mstaUdòn d* C«ntOS 7 



contov_m2 3-root 

ii 

200 MP *t**«•«•. 

■M «IMlé* l 


lofÊm 

■ AGREGAR UN NUEVO PUNTO Dt MONTAit 


TìAt p#f «o 


I ■«««(• 4* 

[ Capéd 4*4 4»Ma«i 


c CJ 


Defina /home en Punto de montaje y asigne 20 GB en Capacidad deseada. Al terminar haga clic en el botón 
Agregar punto de montaje. 


PARTICIONADO MANUAL 


Nwvva nstal*cfòn d« CcntOS 7 


centoi_m23-foot 



NOh 

1 M(3 p—ip 4* ■•»»«»}■ 

200 MB «1*,«.». 

M Gp»o4»4 4 »m»4» 


lomm 

■ AGRLGAR UN NULVO PUNTO Dl MONTAJt 


Hatri máï opdcnn 4 » p#r tonaiu. 

P<ai« 4 « 1*4/** 

C«p*o 4»4 4»Mi4i 'Vf 



C u 


n»vjctn*wm ■ it*tootora 

71.71 GO I 01 92 GO 
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Configuración de Servidores con GNU/Linux 


Regresará a la pantalla de PARTICIONADO MANUAL para confirmar las opciones para el volumen lógico 
recién creado. Haga clic nuevamente en el botón +. 


PARTICIONAOO MANUAL 

INSTAlACrONMCENTOi 7 

■ 

ujmm 


- «ostaUcfòn d* C#ntOS 7 c»«to»-m23-homo 


/hofTXr 

20 GB 9 

MoMftr* 






biosboot 

■*] 

1 MB 



/boot 

200 MB 

OftcMai J*m*4i 


/ 

10 GB 

T^o 0« 4Hfoam> 



é « «rcMvo* tfi 




*ta (m í am Çi oi f«# «n firj fiynj «o ■« «picjrli 


o u 



Aparecerá nuevamente la ventana de diálogo para agregar un nuevo punto de montaje. 
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Defina /var/www en Punto de montaje y asigne 5 GB en Capacidad deseada. Al terminar haga clic en el 
botón Agregar punto de montaje. 



Nvvva r»*tal>d6n C««ttOS 7 

OATOS 


c ont o ft_m 2 3-homo 





ÎO< 






SiSTtM* 



PlMtO 4* ■Mtljl- 




Uoftboot 

/boot 


1 MB 

[)MA 

tUforta! 

Ctpi»<4*4 4«M*é« Í0&* 




1*1 

/ 

imémjiI (m* 

1 

AGREGAR UN NUEVO RUNTO Ot MONTAJC 

nÌM| 

_rj' 








t^ 0 « mm *rt« ft 

*#nr«r i 



Regresará a la pantalla de PARTICIONADO MANUAL para confirmar las opciones para el volumen lógico 
recién creado. Haga clic nuevamente en el botón +. 


PARTICIONAOO MANUAL 

lNST*l*CrON 0€ CENTOS 7 

■ 

caam 


Nvfva instaladòn do ContOS 7 

c*nto»_m23-var_www 

/va r/www 

SG6 


/hOCM 

20 GB 

r««u>4* «OAt«p*: !*»(*,* 

bèosboot 

1 MB 

C«p»o4«4 4 «m*4i ' ûí 



T*o *« 4n#o*««ro LVM 

/boot 

200 MB 


i*t 


SntfiM 4« «rctiMoi. «4« 

t 

10 GB 

VMmm 1 >l*lp l'«(OI 


A iota (m («a6oi »-• «n mM m ■# «ptcarii 

kmt« fi* H bHóm •Co*p»nr»r muUoÁm •«• W ima» 


♦ - ír O E3 
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Aparecerá nuevamente la ventana de diálogo para agregar un nuevo punto de montaje. 


PARTìCIOf4AOO MANUAL 



■ Nuvva d* C«ntOS 7 contoi_m23-var_www 


rv»ríwwv, SCS 


/hom* 

Puniu 4* MMit*i« /«i>r*nHi 

20 GB 




b»o*bout 


C*»*<j4«B «im* 4* i <10 

t MK 

«Ml 


AGREGAR UN NUEVO PUNTO Ot MONTAJE 


/boot 

20 

/^M 

Hsbri mit spncmi d* p«tBonsii7«c<ôfì 


/ 

1 

i^ipuli 3* cr#*» «l punto 0* mont-tft d# 




mmtoft: 1 v 




C«^*d4«4 4 *m«4> 








C*rw*Sfe *^Pw«Ci •( ntinííji | 







o u 


iiwKD<t»9mi ■ B*»»ooiaru 

46 71 GO I 01 92 GO 


Defina /var/lib en Punto de montaje y asigne 5 GB en Capacidad deseada. Al terminar haga clic en el 
botón Agregar punto de montaje. 


PARTICIONAOO MANUAL 



Nuvva vrstal*ctòn d« CcnCOS 7 Contoi_m2 3-vj».www 



/hom# 

b*o*boot 

/boot 

/ 



20 GB 


Panlu 4* •nnt*|* 


AOREGAR UN NUEVO PUNTO OE MONTAJC 



nnnl*|t: /• 

C«p*n4»4 4*M«<i. '• 




c u 


u>w»Dn»OMi ■ t«»too?oru 

46 71 GO I 01 92 GO 
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Regresará a la pantalla de PARTICIONADO MANUAL. Haga clic nuevamente en el botón + para abrir de nuevo 
la ventana de diálogo para agregar un nuevo punto de montaje. 




Nvvva r>ital*clòn d« C«*itOS 7 
/var/www 
/hom* 


biosboot 

/boot 

t 


5 06 
20 GB 


contos_nn23-w_tib 




I G|i*(aét4 nM«éi tOB 

AGREGAR UN NUEVO RUNTO OE MONTAJE 

I Hjfcri mit opoen** do too*íiî*t»ófi átponMti 
I dtipuét ó» (rtií tt puntc ót montjft dt ibtp 

[ Cap*cM»4#«M«4a. 


C u 


Defina swap en el campo de Punto de montaje y asigne 2 GB. Al terminar haga clic en el botón Agregar 
punto de montaje. 


Nvtrva r>stal#clòn d« CntOS 7 

contov_m23-var_Ub 

/var/www 

S UB ••'■“ 

_ Patilv 4* atnlti) 

/ncrrv* jo GB 


hlfttlti 

/«rn» s< 

ìbH 


1 Ctptca<tt#Mtt«t )0B 


AGREGAR UN NUEVO RUNTO OE MONTAJC 

btosboot 



HaCfA mít opocott d* too»ii;a: rtd dtponMot 




r»«it<* »<•«# 

' 1 

CiptiilH «*Mtti ‘M 


CrytCr Vy*çtr {ktcí. O* rwt V 
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Regresará a la pantalla de PARTICIONADO MANUAL para confirmar las opciones para el volumen lógico 
recién creado. Examine la lista particiones y volúmenes lógicos creados y haga las modificaciones que 
considere pertinentes. Jamás asigne el 100% del espacio disponible. Procure dejar todo lo que sea posible de 
espacio libre a fin de asignar éste en el futuro a los volúmenes lógicos que lo requieran. Haga clic en el botón 
Listo que se localiza en la parte superior izquierda de la pantalla. 


PARTICIONAOO MANUAL 

INSTALACtON Oí CÊNTOS 7 

■ 

□mm 


- Nocva mstal»d6n do C*ntOS 7 


/var/www 

lltll -fÎ T 

/homc 


/var/Uò 

,.«...'1^.1 


5 0» 
20 CB 
SGD 


taosboot 

ial 

/boot 

/ 

swap 


1 MB 
200 MB 
10 GB 

2 GB ] 


conto&_m2 3-sw jp 

Homtr* IW« 

lUpHa: 

C«p»oA*d 4 «m* 4 i 06 

Tpo <i 4nfoUM> LVM v Céti 

SMiim 4 * irchim. «<*«p L . È v J 

VHm im f fi i p indiM.ilì) . , v Mod*iw 

A tot» t {M imOoi f«w h«p «n mij pipm *o ■# «plcjrán 
hMM fw# patu H tmtà* « ^H ii u jf «Mlitjoam hi ai ntn i pravpat 
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Aparecerá una ventana de dialogo que le informará de los cambios que se realizarán en la tabla de particiones 
de la unidad de almacenamiento. Haga clic en el botón Aceptar cambios si está de acuerdo. 


PARTìCIOf4AOO MA>4UAL 



Xvcvj wrtal*d«n 4* CmtOS 7 cont»i_m23-«wap 


/var/www 5 ^5 H*— 



e u 


39 71 GO I 81 92 60 
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Regresará a la pantalla de RESUMEN DE LA INSTALACIÓN. Si considera que terminó de personalizar la 
instalación, haga clic en el botón Comenzar instalación que se localiza en la parte inferior derecha de la 
pantalla. 



DfSUMCNOeiA INSTALACIÔN 


CcntOS 


REGIONALIZACION 


PÍCHA & HORA 

fHrto f»oeèfto AnH<M/CAÁÍ*d d* 


SOPORTE 0€ ICXOMA 

Esçofal (Mèàtco) 


SOFTWARE 


INSTALACIÛN 0€ CÍNTOS 7 

O.. 


TtCLADO 

f *pjAX. Cjnrtíl **x> (E rvx (litnotrttrmnolf 



ruerm de instalaci ôn 


OCSTINO OE LA INSTALACIÓN 
5# iWiWOft)pífNcwo*flo 


SELECCIÓN OC SOrrVVARE 

nmj 


REO Y NOMBRE D€ HOST 

ContMtón fèbieèdJ (tnpOtì) conntèd* 
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Comenzará el proceso de instalación en segundo plano y aparecerá una pantalla denominada 
CONFIGURACIÓN que le permitirá asignar contrasena al usuario root y —de manera opcional crear— una 
cuenta de usuario regular. En la parte inferior de la pantalla podrá observar una barra de progreso que 
informará del estado de la instalación. Haga clic en el icono correspondiente a CONTRASENA ROOT. 



CONHGURACIÔN 


CcntOS 


AJUSTES DE USUARIO 



CONTRASENA DE ROOT 

Mo to fu (onAçurtdc t tónvmtrtóot (foot) 


•NSTAIAOON D€ CINTOS 7 



CREACIÓN DE USUARIO 

Vo m (foorê rtrtgify uunrto 
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Aparecerá la pantalla denominada CONTRASENA ROOT. 


COMTRASCNA ROOT 

iNSTAtAClON 0E CENTOS 7 

■ 

m 


li («mi r«o« m «u ptr* Mmmuh m mimi Miodmi m («mniiAi ^«i «4 1 . 


1« («mimiAi »fti r*(W 


Asigne la nueva contrasena y confirme ésta. El sistema le advertirá en la parte inferior de la pantalla si la 
contrasena es débil o adecuada. Al terminar haga clic en el botón Listo que se localiza en la parte superior 
izquierda de la pantalla. 


CONTRAStNA ROOT 




INSTIU.AC10N OC CENTOS 7 


ll (rMi r«o« m «U ptri MmmUh 


uoAmi m («mnuAi *4 uv 

MM 


1« («MimiAi ** «I l)4M T40* rMtl (•••• («*!'••• 
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Regresará a la pantalla denominada CONFIGURACIÓN. Haga clic en el icono correspondiente a CREACIÓN 
DE USUARIO. 



CONfldUR*CIÔN 


C«ntOS 


AJUSTES DE USUARIO 



iNSTAUClON OE «NTOS 7 


CREACIÓN OEUSUARIO 

No st ctfMì rtnçitì usutno 



Aparecerá la pantalla denominada CREAR USUARIO. 


CRÊAR USUARIO 


INSTALAOON0€CENTOS 7 


Mo*kf« com^blo 


■RMfA I* I |A > I« if* U 

NMM M( Hlt vwtf«' Mt 


(MMItlti f Rt itÌA» HJtftì 


/ S« f HMi' t mi («MintAt w«M nt* < 


GonfliMtr coHrtM/la 


w l* <M«i«t*l *rti «•<!• 
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Defina el nombre completo del usuario, nombre a utilizar para ingresar al sistema, defina si el usuario tendrá 
privilegios de administración y defina la contrasena correspondiente con confirmación. Al terminar haga clic en 
el botón Avanzado sólo si requiere hacer ajustes a la cuenta. 



C a iiH n iir cortriMÌfi 
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Aparecerá una ventana de diálogo que permitirá cambiar la carpeta de inicio, especificar manualmente UID y 
GID y anadir grupos adicionales. Al terminar haga clic en el botón Guardar cambios. 



Hr«*rrM» 4* fwf<> 



11245 ». 

Cmm|o: *tro&M or iim Inlt i«p#t4é po' <««M dt ncntorat d« qrfro • <h 9np« 



Regresará a la pantalla CREAR USUARIO. Haga clic en el botón Listo que se localiza en la parte superior 
izquierda de la pantalla. 



UuitrD 


C otnrtflU 


C o nHr «t f coHrttrU 


itMt vik rtlt <v«t«« 
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Regresará a la pantalla denominada CONFIGURACIÓN. Espere a que concluya el proceso de instalación y 
permita que reinicie automáticamente el sistema. 


CONfldUR*CIÔN 




C«ntOS 


AJUSTES DE USUARlO 


CONTRASENA OE ROOT 

ÇontfâttA» dt foot nutUtodo 


STALAOÔN D€ CÍNTOS 7 



» * c*bo 


CentOS Promotion SIG 

Promoting CentOS ir» cveots, coolcrtntn and 


5.2. Posterior a la instalación. 

Por favor, continúe con el documento titulado «Funciones básicas de Vi » y posteriormente continúe con el 
documento titulado «Ajustes posteriores a la instalación de CentOS 7». 
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6. Funciones básicas de vi. 


Autor: Joel Barrios Duehas 

Correo electrónico: darkshram en gmail punto com 

Sitio de Red: http://www.alcancelibre.org/ 


Creative Commons Reconocimiento-NoComercial-Compartirlgual 2.1 


© 1999-2016 Joel Barrios Duenas. Usted es libre de copiar, distribuir y comunicar públicamente la obra y hacer obras derivadas bajo las condiciones siguientes: a) 
Debe reconocer y citar al autor original. b) No puede utilizar esta obra para fines comerciales. c) Si altera o transforma esta obra o genera una obra derivada, sólo 
puede distribuir la obra generada bajo una licencia idéntica a ésta. Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. 
Alguna de estas condiciones puede no aplicarse si se obtiene el permiso del titular de los derechos de autor. Los derechos derivados de usos legítimos u otras 
limitaciones no se ven afectados por lo anterior. La información contenida en este documento y los derivados de éste se proporcionan tal cual son y los autores no 
asumirán responsabilidad alguna si el usuario o lector hace mal uso de éstos. 


6.1. Introducción. 

Vi es uno de los editores de texto más poderosos y anejos que hay en el mundo de la informática y el softvvare 
libre. Conocer la funcionalidad básica de Vi con la finalidad de facilita la edición de archivos de texto simple, 
principalmente archivos de configuración. 

6.2. Procedimientos. 

6.2.1. Equipamiento lógico necesario. 

Por lo general, vi se instala de modo predefinido en la mayoría de las distribuciones de GNU/Linux a través del 
paquete vim-minimal (CentOS, Fedora™ y Red Hat™ Enterprise Linux) o vim-base (openSUSE™ y SUSE™ 
Linux Enterprise). Puede conseguirse funcionalidad adicional a través de los siguientes paquetes: 

• vim-enhanced Versión mejorada de vi que anade color a la sintaxis y otras mejoras en la 
interfaz. Instala /usr/bin/vim en CentOS, Fedora™, Red Hat™ Enterprise Linuxy openSUSE™. 
Este paquete está ausente en SUSE™ Linux Enterprise. 

• vim-minimalo vim-base: Versión muy básica y ligera de vi. Instala /bin/vi. 

• vim-Xll o gvim: Versión de vi para modo gráfico, más fácil de utilizar gracias a los menús y 
barra de herramientas. Instala /usr/bin/gvim y los enlaces simbólicos /usr/bin/evim y 
/usr/bin/vimx que apuntan hacia éste. 

En CentOS, Fedora™ y Red Hat™ Enterprise Linux. 

Si realizó una instalación mínima, instale vim ejecutando lo siguiente: 


yum -y install vim vim-enhanced vim-minimal 


6.2.1.1. En openSUSE™ y SUSE™ Linux Enterprise. 

Si realizó una instalación mínima, instale vim ejecutando lo siguiente: 
yast -i vim vim-base 


6.3. Procedimientos previos. 

Genere un usuario sin privilegios: 
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useradd -m curso 

Asigne una contrasena a este nuevo usuario: 
passwd curso 

Cambie a este nuevo usuario ejecutando lo siguiente: 
su -1 curso 

6.4. Conociendo vi. 

Genere un nuevo documento ejecutando vim y utilizando como argumento holamundo.txt: 
vim holamundo.txt 

Lo anterior mostrará una interfaz como la siguiente: 


| "holamundo . txt" [Archivo nuevo] _ Q, 0-1 _ Todo _ 

Pulse una vez el botón <INSERT> —o bien la tecla i— y observe los cambios en la pantalla 
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En la parte inferior de la pantalla aparecerá la palabra «INSERTAR». Esto significa que, al igual que cualquier 
otro editor de texto conocido, puede comenzar a insertar texto en el archivo. Escriba la frase «Alcance Libre», 
pulse la tecla <=3 (ENTER) y escriba de forma pro-positiva la frase «un vuen lugar donde comensar»: 



Posicione el cursor del teclado justo debajo de la «v» de la palabra «vuen» y pulse de nuevo la tecla <INSERT> 
del teclado —o bien pulse la tecla <Esc> y SHIFT+R. Notará que ahora aparece la palabra «REEMPLAZAR»: 
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Alcance Libre 

un J uen lugar donde comensar 


-- REEMPLAZAR -- 0-1 Todo 


Pulse la tecla «b» y observe como se reemplaza la letra «v» para quedar la palabra corregida como «buen»; 


Alcance Libre 

un l^uen lugar donde comensar 


-- REEMPLAZAR -- 


0-1 Todo 


Mueva el cursor con las flechas del teclado y repita el procedimiento reemplazando la letra «s» por una «z» en 
la palabra «comensar» de modo que quede como «comenzar»: 
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Alcance Libre 

un buen lugar donde empegar 


-- REEMPLAZAR -- 0-1 Todo 


Pulse la tecla <Esc> para salir del modo de reemplazo e inmediatamente pulse la tecla : (dos puntos) seguido 
de la letra «w» con la finalidad de proceder a guardar el archivo en el sistema de archivos: 


Alcance Libre 

un buen lugar donde comenzar 


Pulse la tecla <=° (ENTER) y notará que aparece un mensaje en la parte inferior de la pantalla que indicará que 
el archivo ha sido guardado: 
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Pulse nuevamente la tecla <=° (ENTER) y observe el mensaje en la parte inferior de la pantalla que indica el 
archivo acaba de ser guardado como el archivo adiosmundo.txt: 
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Alcance Libre 

un buen lugar donde comenzar 


"adiosmundo.txt" [Nuevo] 2L, 44C escritos 


Alcance Libre 

un buen lugar donde comenzar 
Creo que el mundo es un lugar muy malo 
La gente que conozco es mala 
Mi vida ha sido muy malg 


-- INSERTAR 


A continuación pulse la tecla <Esc> e inmediatamente pulse la tecla : (dos puntos) seguido de la combinación 
de teclas %s/mal/buen/g del siguiente modo: 
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Alcance Libre 

un buen lugar donde comenzar 
Creo que el mundo es un lugar muy malo 
La gente que conozco es mala 
Mi vida ha sido muy mala 


:%s/mal/buen/g 


Pulse de nuevo la tecla <=° (ENTER) y observe como ha sido reemplazada la cadena de caracteres «mal» por la 
cadena de caracteres «buen» en todo el archivo, quedando del siguiente modo: 


Alcance Libre 

un buen lugar donde comenzar 
Creo que el mundo es un lugar muy bueno 
La gente que conozco es buena 
Mi vida ha sido muy buena 


3 sustituciones en 3 líneas 5,1 Todo 


En el procedimiento anterior, el símbolo «%» indicaba que se aplicaría un procedimiento a todo el archivo, 
además de la línea misma, la letra «s» indicaba que se realizaría la búsqueda de la cadena de caracteres 
«mal» detinida después de la diagonal (/) por la cadena de caracteres «buen» en toda la línea, indicado por la 
letra «g». 

A continuación posicione el cursor de teclado utilizando las flechas del teclado hasta el primer carácter de la 
primera línea: 
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gcance Libre 

un buen lugar donde comenzar 
Creo que el mundo es un lugar muy bueno 
La gente que conozco es buena 
Mi vida ha sido muy buena 


3 sustituciones en 3 líneas 5,1 Todo 


Para copiar pulse dos veces consecutivas la tecla «y», es decir pulsará «yy».: 


Para pegar pulse una vez la tecla «d». Observe cómo aparece una línea idéntica debajo de la que acaba de 
copiar. 


Alcance Libre 
gcance Libre 

un buen lugar donde comenzar 
Creo que el mundo es un lugar muy bueno 
La gente que conozco es buena 
Mi vida ha sido muy buena 


2,1 Todo 


Pulse dos veces la tecla «d», es decir pulsara «yy». Observe como desaparece la línea: 
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Alcance Libre 

Jn buen lugar donde comenzar 
Creo que el mundo es un lugar muy bueno 
La gente que conozco es buena 
Mi vida ha sido muy buena 


2,1 Todo 


Para cortar texto pulse dos veces consecutivas la tecla «d», es decir pulsará «dd». Observe como desaparece 
la primera línea: 


un buen lugar donde comenzar 
Creo que el mundo es un lugar muy bueno 
La gente que conozco es buena 
Mi vida ha sido muy buena 


Pulse ahora la tecla «p» para volver a pegar la línea: 
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un buen lugar donde comenzar 
glcance Libre 

Creo que el mundo es un lugar muy bueno 
La gente que conozco es buena 
Mi vida ha sido muy buena 


Observe que la línea «Alcance Libre» reapareció debajo de la línea «un buen lugar donde comenzar». 
Utilizando las flechas del teclado, coloque el cursor del teclado nuevamente sobre el primer carácter de la 
primera línea del archivo, es decir, sobre la letra «u» de la línea «un buen lugar donde comenzar»: 


Jn buen lugar donde comenzar 
Alcance Libre 

Creo que el mundo es un lugar muy bueno 
La gente que conozco es buena 
Mi vida ha sido muy buena 


1,1 Todo 


Vuelva a pulsar «dd» para cortar la línea «un buen lugar donde comenzar» e luego pulse la tecla «p» para 
pegar la línea en el lugar correcto: 
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Alcance Libre 

Jn buen lugar donde comenzar 
Creo que el mundo es un lugar muy bueno 
La gente que conozco es buena 
Mi vida ha sido muy buena 


2,1 Todo 


Coloque ahora el cursor sobre la letra «C» de la línea «Creo que el mundo es un lugar muy bueno» y pulse la 
tecla «3» seguido de «dd» y observe como son cortadas las tres siguientes lineas: 


Alcance Libre 

Jn buen lugar donde comenzar 


3 lineas menos 2,1 Todo 


Pulse la tecla «p» una vez, observe el resultado. Vuelva a pulsar la tecla «p» y observe el resultado. Las dos 
acciones anteriores anadieron ahora 6 líneas restaurando las eliminadas anteriormente y agregando tres líneas 
más con el mismo contenido: 
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Alcance Libre 

Jn buen lugar donde comenzar 

Creo que el mundo es un lugar muy bueno 

Creo que el mundo es un lugar muy bueno 

La gente que conozco es buena 

Mi vida ha sido muy buena 

La gente que conozco es buena 

Mi vida ha sido muy buena 


3 lineas más 2,1 Todo 


Pulse ahora la tecla : (dos puntos) seguido de la tecla «x» y la tecla <=° (ENTER) con la finalidad de salir del 
editor guardando el archivo. 


SUSE™ Linux Enterprise carece del paquete vim-enhanced, por lo cual será imposible se muestre el resaltado 
de las búsquedas. Si utiliza este sistema operativo, omita los siguientes dos pasos. 


Abra nuevamente el archivo adiosmundo.txt con vi y pulse la combinación de teclas :/buen, de modo que se 
realice una búsqueda de la cadena de caracteres «buen» y además se resalten las coincidencias: 


Alcance Libre 

Jn buen lugar donde comenzar 

CretT que el mundo es un lugar muy bueno 

Creo que el mundo es un lugar muy bueno 

La gente que conozco es buena 

Mi vida ha sido muy buena 

La gente que conozco es buena 

Mi vida ha sido muy buena 


/buen 2,1 Todo 


Para cancelar el resaltado de los resultados, pulse la combinación de teclas :nohl: 
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Alcance Libre 

Jn buen lugar donde comenzar 

Creo que el mundo es un lugar muy bueno 

Creo que el mundo es un lugar muy bueno 

La gente que conozco es buena 

Mi vida ha sido muy buena 

La gente que conozco es buena 

Mi vida ha sido muy buena 


2,1 Todo 


Pulse A (combinación de las teclas SHIFT+a) mientras el cursor permanece en la segunda línea y observe que 
iniciará ei modo INSERTAR colocando el cursor al final de la línea donde se encontraba: 


Alcance Libre 

un buen lugar donde comenzar| 

Creo que el mundo es un lugar muy bueno 
Creo que el mundo es un lugar muy bueno 
La gente que conozco es buena 
Mi vida ha sido muy buena 
La gente que conozco es buena 
Mi vida ha sido muy buena 


-- INSERTAR -- 2,1 Todo 


Pulse la tecla <Esc> y enseguida o. Notará que iniciará el modo INSERTAR abriendo una nueva línea: 
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Alcance Libre 

un buen lugar donde comenzar 

I 

Creo que el mundo es un lugar muy bueno 
Creo que el mundo es un lugar muy bueno 
La gente que conozco es buena 
Mi vida ha sido muy buena 
La gente que conozco es buena 
Mi vida ha sido muy buena 


-- INSERTAR -- 3,1 Todo 


Pulse nuevamente la tecla <Esc> y en seguida la combinación dG (d, luego SHIFT+G). Notará que elimina todo 
el contenido del texto desde la posición del cursor hasta el final del archivo: 


Alcance Libre 

Jn buen lugar donde comenzar 


7 líneas menos 2,1 Todo 


Pulse la combinación :u y notará que el cambio se ha descartado, regresando las 7 líneas que habían sido 
eliminadas: 
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Alcance Libre 

un buen lugar donde comenzar 

I 

Creo que el mundo es un lugar muy bueno 
Creo que el mundo es un lugar muy bueno 
La gente que conozco es buena 
Mi vida ha sido muy buena 
La gente que conozco es buena 
Mi vida ha sido muy buena 


7 líneas más 3,0-1 Todo 


Una vez terminado el ejercicio, salga de la sesión del usuarios sin privilegios ejecutando lo siguiente: 

exit 


6.5. Otros mandatos de vi. 


Mandato 

Resultado 

i [o bien latecla 
insert] 

Inicia el modo insertar antes del cursor 

R (r + SHIFT) 

Inicia el modo reemplazar al inicio de la línea donde se encuentra el cursor 

a 

Inicia insertar texto después del cursor 

1 (i + SHIFT) 

Inicia insertar texto al inicio de la línea donde se encuentra el cursor 

A (a + SHIFT) 

Inicia insertar texto al final de la línea donde se encuentra el cursor. 

0 

Abre una nueva línea e inicia insertar texto en la nueva línea. 

X 

Elimina el carácter que esté sobre el cursor. 

dd 

Elimina o corta la línea actual donde se encuentre el cursor. 

yy 

Copia la línea actual donde se encuentre el cursor. 

p 

Pega una o más líneas copiadas o cortadas debajo de donde se encuentre el cursor. 

D 

Elimina desde la posición actual del cursos hasta el final de la misma línea donde se encuentra 
el cursor. 

dG 

Eliminatodo hasta el final del archivo. 

:q 

Salida. Si hay cambios pendientes se impedirá la salida. 

:q! 

Salida descartando los cambios en el archivo. 

:w 

Guardar el archivo sin salir. 

:wq 

Guardar el archivo y sale de vi. 

:x 

lo mismo que :wq 

:saveas /lo/que/sea 

guarda el archivo como otro archivo donde sea necesario. 

:wq! ++enc=utf8 

codifica el archivo en UTF-8. 

:u 

deshacer cambios 

:red 

rehacer cambios. 

:/cadena de 
caracteres 

Búsqueda de cadenas de caracteres. 
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:nohl 

Cancelar el resaltado de resultados de Búsqueda. 

:e archivo 

Edita un nuevo archivo en un nuevo búfer. 

:bn o :bnext 

Conmuta al siguiente archivo abierto. 

:bp o :bprev 

Conmuta al archivo abierto anterior. 

:bd 

Cierra búfer activo. 

CTRL+W s o :split 

Divide horizontalmente en dos búferes. 

CTRL+W v 

Divide verticalmente en dos búferes. 

CTRL+Ww 

Conmuta entre en búferes abiertos. 

CTRL+W s 

Cierrael búferactivo. 


6.6. Más allá de las funciones básicas. 

Si utiliza ALDOS, CentOS o Fedora™, instale el paquete vim-enhanced: 

yum -y install vim-enhanced 

Utilice vimtutor y complete el tutor interactivo oficial de Vi con la finalidad de que conozca el resto de las 
funcionalidades más importantes. 
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7. Conozca la terminal de Linux. 


Autor: Joel Barrios Duehas 

Correo electrónico: darkshram en gmail punto com 

Sitio de Red: http://www.alcancelibre.org/ 


Creative Commons Reconocimiento-NoComercial-Compartirlgual 2.1 


© 1999-2016 Joel Barrios Duenas. Usted es libre de copiar, distribuir y comunicar públicamente la obra y hacer obras derivadas bajo las condiciones siguientes: a) 
Debe reconocer y citar al autor original. b) No puede utilizar esta obra para fines comerciales. c) Si altera o transforma esta obra o genera una obra derivada, sólo 
puede distribuir la obra generada bajo una licencia idéntica a ésta. Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. 
Alguna de estas condiciones puede no aplicarse si se obtiene el permiso del titular de los derechos de autor. Los derechos derivados de usos legítimos u otras 
limitaciones no se ven afectados por lo anterior. La información contenida en este documento y los derivados de éste se proporcionan tal cual son y los autores no 
asumirán responsabilidad alguna si el usuario o lector hace mal uso de éstos. 


7.1. Procedimientos. 


Después de instalar cualquier distribución de GNU/Linux y reiniciar el sistema por primera vez, seguramente se 
encontrará con la siguiente pantalla: 


CentOS Linux 7 (Core) 

Kernel 3.10.0-327.el7.x86_64 on an x86_64 
cursocentos login: _ 


Para ingresar al sistema escriba «root» en el diálogo «login» y pulse la tecla d: 


CentOS Linux 7 (Core) 

Kernel 3.10.0-327.el7.x86_64 on an x86_64 
cursocentos login: root_ 


Aparecerá el diálogo para ingresar la contrasena. 


CentOS Linux 7 (Core) 

Kernel 3.10.0-327.el7.x86_64 on an x86_64 

cursocentos login: root 
Password: _ 


Escriba la contrasena asignada durante la instalación y pulse J. Cabe senalar que jamás se mostrarán los 
carácteres —ni * en lugar de los éstos— que se escriban en el diálogo de la contrasena. 


CentOS Linux 7 (Core) 

Kernel 3.10.0-327.el7.x86_64 on an x86_64 

cursocentos login: root 
Password: 

Last login: Wed Sep 14 11:52:10 on ttyl 
[root§cursocentos -]# _ 


Lo primero que debe conocer es que CentOS —al igual que otras distribuciones de Linux— permite utilizar 
hasta 6 terminales de manera simultánea y conmutar entre éstas pulsando lo siguiente: 


Ctrl + Alt + F1 

Conmuta hacia la primera terminal* 

ctrl + Alt + F2 

Conmuta hacia la Segunda terminal 

ctrl + Alt + F3 

Conmuta hacia la Tercera terminal 

ctrl + Alt + F4 

Conmuta hacia la Cuarta terminal 
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Ctrl + Alt + F5 

Conmuta hacia la Quinta terminal 

ctrl + Alt + F6 

Conmuta hacia la Sexta terminal 

* Cuando el modo gráfico está habilitado la primeraterminal es deshabilitaday ocupada por el servidor de video. 


Pulse: 


Ctrl + Alt + F2 

O bien ejecute chvt 2 para que apareza una nueva pantalla de ingreso. 


Ingrese de nuevo al sistema como usuario root. 


Ejecute tty para saber en que terminal se encuentra: 


tty 


La salida debe ser similar a la siguiente: 


CentOS Linux 7 (Core) 

Kernel 3.10.0-327.el7.x86_64 on an x86_64 

cursocentos login: root 
Password: 

Last login: Wed Sep 14 11:53:30 on tty2 

[root@cursocentos -]# tty 

/dev/tty2 

[root@cursocentos -]# _ 


Pulse: 


Ctrl + Alt + F3 

O ejecute chvt 3 para que aparezca una nueva pantalla de ingreso. 
Ingrese de nuevo al sistema como usuario root. 


CentOS Linux 7 (Core) 

Kernel 3.10.0-327.el7.x86_64 on an x86_64 

cursocentos login: root 
Password: 

Last login: Wed Sep 14 11:54:40 on tty2 
[root@cursocentos -]# _ 


Pulse: 


Ctrl + L 

O bien ejecute clear para limpiar la pantalla. El resultado será similar al siguiente: 


[root@cursocentos -]# 


La ejecución de algunas cosas —como por ejemplo ejecutar cat sobre un archivo binario— puede corromper la 
terminal haciendo que sea ilegible la salida. Para ese tipo de casos ejecute reset para reiniciar la terminal. 


113 








Joel Barrios Duenas 


Configuración de Servidores con GNU/Linux 


Para ver el historial de lo que se ha ejecutado, por favor pulse una y luego varias veces: 

t 

Para avanzar en el historial pulse: 

t 

De modo predeterminado CentOS almacena hasta 1000 líneas de historial en la terminal. El número de líneas 
que se guardan en el historial puede modificarse editando el archivo /etc/profile y cambiando el valor de 

HISTSIZE. 


Ejecute history para ver el historial completo de hasta las últimas 100 líneas ejecutadas: 


history 


La salida será similar a la siguiente: 


[root§cursocentos -]# history 

1 reboot 

2 shutdown -r 5 

3 poweroff 

4 shutdown -h now 

5 yum -y install vim-enhanced 

6 yum -y install man man-pages-es 


71 

tty 

8 

clear 

9 

reset 

10 

ls 

11 

uname 

12 

uptime 


[root§cursocentos -]# 


El carácter-tilde— se utiliza para indicar un atajo para el directorio de inicio del usuario con el que se 

ingresó al sistema. En este caso ~ corresponde a /root. En los teclados con mapa al espaíïol o latinoamericano 
se obtiene al pulsar lo siguiente: 

Alt Gr + 4 

Por favor note que la tecla Alt Gr —que está a la derecha de la barra espaciadora— es una tecla diferente a 
Alt —que está a la izquierda de la barra espaciadora. 


El historial de lo ejecutado se almacena en el archivo ~/.bash_history. Ejecute lo siguiente para ver el contenido 
de éste: 


cat ~/.bash_history 


Obtendrá una salida similar a la siguiente: 
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[root@cursocentos -]# cat -/.bash_history 
reboot 

shutdown -r 5 

poweroff 

shutdown -h now 

yum -y install vim-enhanced 

yum -y install man man-pages-es 

tty 

clear 

reset 

ls 

uname -a 

uptime 

history 

[root@cursocentos -]# _ 


Otros atajos de teclado incluyen: 


Inicio o Home o Ctrl + A 

Pone el cursor al inicio de la línea 

Fin o End o Ctrl + E 

Pone el cursor al final de la línea 

Ctrl + C 

Cierra un programa en ejecución 

Ctrl + Z 

Envía a segundo plano y pone en pausa un programa en ejecución 

Ctrl + U 

Limpia la línea para comenzar de nuevo 

Ctrl + K 

Eliminatodo lo que esté delante del cursor hasta el final de la línea 

Ctrl + W 

Elimina/corta lo que haya en la línea antes del cursor 

Ctrl + Y 

Pega el último contenido cortado 

Ctrl + P 

Repite la última línea del historial 

Ctrl + T 

Intercambia los últimod dos carácteres antes del cursor 

Alt + T 

Intercambia la palabra la palabra actual con la anterior 

Alt + U 

Cambia a mayúsculas la palabra antes del cursor 

Alt + L 

Cambia a minúsculas la palabra antes del cursor 

ï« o Tab 

Cambia a minúsculas la palabra antes del cursor 

Ctrl + D 

Sale de la sesión de terminal. 


Pulse: 


Ctrl + D 

O bien ejecute exit para salir de la terminal y regresar a la pantalla de ingreso. 


CentOS Linux 7 (Core) 

Kernel 3.10.0-327.el7.x86_64 on an x86_64 
cursocentos login: _ 
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8. Ajustes posteriores a la instalación de CentOS 7. 

Autor: Joel Barrios Duehas 

Correo electrónico: darkshram en gmail punto com 

Sitio de Red: http://www.alcancelibre.org/ 


Creative Commons Reconocimiento-NoComercial-Compartirlgual 2.1 


© 1999-2016 Joel Barrios Duenas. Usted es libre de copiar, distribuir y comunicar públicamente la obra y hacer obras derivadas bajo las condiciones siguientes: a) 
Debe reconocer y citar al autor original. b) No puede utilizar esta obra para fines comerciales. c) Si altera o transforma esta obra o genera una obra derivada, sólo 
puede distribuir la obra generada bajo una licencia idéntica a ésta. Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. 
Alguna de estas condiciones puede no aplicarse si se obtiene el permiso del titular de los derechos de autor. Los derechos derivados de usos legítimos u otras 
limitaciones no se ven afectados por lo anterior. La información contenida en este documento y los derivados de éste se proporcionan tal cual son y los autores no 
asumirán responsabilidad alguna si el usuario o lector hace mal uso de éstos. 


8.1. Procedimientos. 

Una vez terminada la instalación de CentOS 7 hay varios ajustes que se pueden realizar. Todos los 
procedimientos se hacen como root. 

8.1.1. Nombres de los dispositivos de red. 

Las más recientes versiones de CentOS, Fedora™ y Red Hat™ Enterprise Linux utilizan un nuevo esquema 
para los nombres de los dispositivos de red. Los nombres se basan sobre su ubicación física con la finalidad de 
facilitar su identificación. Los dispositivos de red integrados a la tarjeta madre utilizan el esquema 
eno[l,2,3,4...]; los dispositivos PCI utilizan el esquema enp[ranura PCI]p[puerto ethernet] y —en el caso de 
dispositivos virtuales— enofranura PCI]p[puerto ethernet] [interfaz virtual] o enp[ranura PCI]p[puerto 
ethernet] [interfaz virtual]. Ejemplos: 

• enol corresponde al primer dispositivo de red integrado en la tarjeta madre. 

• eno2 corresponde al segundo dispositivo de red integrado en la tarjeta madre. 

• eno3 corresponde al tercer dispositivo de red integrado en la tarjeta madre. 

• enplpl corresponde al dispositivo de red en la primera ranura PCI, primer puerto ethernet. 

• enp2pl corresponde al dispositivo de red en la segunda ranura PCI, primer puerto ethernet. 

• enp3pl corresponde al dispositivo de red en la tercera ranura PCI, primer puerto ethernet. 

• enp3p2 corresponde al dispositivo de red en la tercera ranura PCI, segundo puerto ethernet. 

• enp3p2_l corresponde al dispositivo de red en la tercera ranura PCI, segundo puerto ethernet, 
primer dispositivo virtual. 

Puede determinarse la lista de los dispositivos de red reconocidos por el sistema revisando el contenido del 
directorio /sys/class/net/: 


ls /sys/class/net/ 


Para desactivar esta nueva nomenclatura sólo es necesario anadir net.ifnames=0 y biosdevname=0 como 
argumentos para el núcleo de Linux y reiniciar el sistema. 

Edite el archivo /etc/default/grub: 


vi /etc/default/grub 


Anada a los argumento de inicio del núcleo las opciones net.ifnames=0 y biosdevname=0. Ejemplo: 
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GRUB_TIME0UT=5 

GRUB_DISTRIBUTOR="$(sed 's, release .*$,,g' /etc/system-release)" 

GRUB_DEFAULT=saved 
GRUB_DISABLE_SUBMENU=t rue 
GRUB_TERMINAL_OUTPUT="console" 

GRUB_CMDLINE_LINUX="vconsole.font=latarcyrheb-sunl6 crashkernel=auto rhgb quiet 

net.ifnames=0 biosdevname=0" 

GRUB DISABLE RECOVERY="true" 


Ejecute lo siguiente para aplicar el cambio en la configuración de Grub2: 


grub2-mkconfig -o /boot/grub2/grub.cfg 


Para completar el procedimiento deberá cambiar el nombre de los archivos correspondientes a los dispositivos 
de red. Los nombres de los dispositivos pueden variar según la configuración de hardvvare de cada sistema. 
Ejemplo correspondiente a los dispositivos ethernet de una máquina virtual con VirtualBox: 


mv /etc/sysconfig/network-scripts/{ifcfg-enp0p3,ifcfg-eth0} 
mv /etc/sysconfig/network-scripts/{ifcfg-enp0s8,ifcfg-ethl} 
mv /etc/sysconfig/network-scripts/{ifcfg-enp0s9,ifcfg-eth2} 


Y cambiar cualquier incidencia del nombre del dispositivo por el correspondiente a la nomenclatura tradicional. 
Ejemplo: 


sed -i 1 s,enp0p3,eth0,g 1 /etc/sysconfig/network-scripts/ifcfg-eth0 
sed -i 1 s,enp0p8,ethl,g 1 /etc/sysconfig/network-scripts/ifcfg-ethl 
sed -i 1 s,enp0p9,eth2,g 1 /etc/sysconfig/network-scripts/ifcfg-eth2 


El sistema utilizará la nomenclatura tradicional para dispositivos de red —ethO, ethl, eth2, etc.— después de 
reiniciar el sistema. Ejecute lo siguiente si realizó el procedimiento: 


reboot 


8.1.2. iDispositivos de red inactivos? 

Si realizó la instalación del sistema sin configurar dispositivos de red, descubrirá que seguramente éstos están 
desactivados. Verifique la asignación de direcciones IP ejecutando lo siguiente. 

ip addr list 


Consulte con la persona encargada de administrar su red de área local respecto de los datos que puede utilizar 
para sus dispositivos de red. 


Nota. 

Evite utilizar ifconfig. Es obsoleto, dejó de ser desarrollado en abril de 2001, carece de soporte para IPv6, carece de 
soporte para gestionar direcciones con la misma etiqueta, carece de soporte para mostrar y gestionar direcciones 
secundarias sin etiquetar, carece de soporte para notación CIDR y carece de muchas otras funciones como gestión de 
dispositivos TAP y TUN. 


Si carece de conectividad y necesita establecer la conectividad de manera inmediata —asumiendo que hay un 
servidor DHCP presente en la red de área local— ejecute dhclient utilizando como argumento el nombre del 
dispositivo de red principal del sistema. Ejemplo: 
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dhclient enp0s3 


Edite los archivos de configuración de cada dispositivo de red y cambie ONBOOT="no" por ONBOOT="yes". 
En el siguiente ejemplo hipotético se asume que el dispositivo de red principal del sistema corresponde a 
enp0s3. Si desactivó el nuevo estándar de nomenclatura de dispositivos de red utiliza ethO en lugar de enp0s3. 
Edite el archivo /etc/sysconfig/network-scripts/ifcfg-enp0s3: 

vi /etc/sysconfig/network-scripts/ifcfg-enp0s3 


Asegúrese que al menos una de los dispositivos de red tenga la opción «ONBOOT» con el valor «yes»: 


DEVICE="enp0s3" 

NM_CONTROLLED="yes" 

0NB00T="yes" 

HWADDR=08:00:27:89:15:BE 

TYPE=Ethernet 

B00TPR0T0=dhcp 

DEFROUTE=yes 

PEERDNS=yes 

PEERROUTES=yes 

DHCP CLIENT ID=pruebas-centos6 
IPV4_FAILURE_FATAL=yes 
IPV6INIT=no 
NAME="System enp0s3" 

UUID=5fb06bd0-0bb0-7ffb-45fl-d6edd65f3e03 


8.1.3. Desactive NetworkManager 

NetworkManager es una implementación que permite a los usuarios regulares controlar y anadir dispositivos 
de red. Resulta perfecto para facilitar la administración de interfaces inalámbricas, conexiones de VPN, 
conexiones PPPoE y cualquier conexión de red desde el escritorio. En un servidor es absurdo permitir ésto ya 
que por lo general la administración del mismo se hace de manera remota a través de una consola de texto a 
través de SSH. La única ventaja que tiene frente al servicio network es que detecta, activa y desactiva 
automáticamente los dispositivos ethernet cuando se conecta y desconecta el cable correspondiente. 

Conviene desactivar que la gestión de las interfaces de red se haga a través del servicio NetworkManager 
para dejar que se encargue de ésta el servicio network si el sistema se va a utilizar como servidor. Cambie 

NM CONTROLLED="yes", por NM CONTROLLED="no": 


DEVICE="enp0s3" 

NM_C0NTR0LLED="no" 

0NB00T="yes" 

HWADDR=08:00:27:89:15:BE 

TYPE=Ethernet 

B00TPR0T0=dhcp 

DEFROUTE=yes 

PEERDNS=yes 

PEERROUTES=yes 

DHCP CLIENT ID=pruebas-centos6 
IPV4 FAILURE FATAL=yes 
IPV6INIT=no 
NAME="System enp0s3" 

UUID=5fb06bd0-0bb0-7ffb-45fl-d6edd65f3e03 


Desactive y detenga el servicio NetworkManager: 


systemctl disable NetworkManager 
systemctl stop NetworkManager 
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Ejecute lo siguiente para activar e iniciar el tradicional servicio network: 

chkconfig network on 
service network start 

Cabe senalar que el servicio network es gestionado por SystemD a través del soporte de legado para sysvinit. 
Verifique la asignación de direcciones IP ejecutando lo siguiente. 
ip addr list 

8.1.4. Localización y mapa de teclado. 

Si omitió establecer el idioma «Espanol» como idioma predeterminado durante la instalación, edite el archivo 

/etc/locale.conf: 

vi /etc/locale.conf 

Localice LANG="en_US.UTF-8": 

LANG="en_US.UTF-8" 

Cambie LANG="en_US.UTF-8" por LANG="es_MX.UTF-8" —que corresponde a espanol de México— o bien 
la localización que corresponda a su país: 

LANG="es MX.UTF-8" 


Seguramente requerirá definir también el mapa de teclado para el sistema. Consulte la lista completa de mapas 
de teclado disponibles en el sistema se puede consultar ejecutando lo siguiente: 

localectl list-keymaps 

Edite el archivo /etc/vconsole.conf: 

vi /etc/vconsole.conf 

Localice KEYMAP="us": 


KEYMAP="us" 

FONT="latarcyrheb-sun!6" 


Cambie KEYMAP="us" por —o bien afiada— KEYMAP="es" —si utiliza teclado espanol— o bien 
KEYMAP="latam" —si utiliza teclado latinoamericano— o bien defina el mapa de teclado que corresponda: 

Edite el archivo /etc/default/grub: 


vi /etc/default/grub 


Localice vconsole.keymap=us: 
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GRUB_TIME0UT=5 

GRUB_DISTRIBUTOR="$(sed 's, release .*$,,g' /etc/system-release)" 

GRUB_DEFAULT=saved 
GRUB_DISABLE_SUBMENU=t rue 
GRUB_TERMINAL_OUTPUT="con sole" 

GRUB_CMDLINE_LINUX="vconsole.font=latarcyrheb-sunl6 crashkernel=auto vconsole.keymap=us 
rhgb quiet" 

GRUB DISABLE RECOVERY="true" 


Cambie vconsole.keymap=us por —o bien aiìada— vconsole.keymap=es —si utiliza teclado espanol— o 
bien vconsole.keymap=latam —si utiliza teclado latinoamericano— o bien defina el mapa de teclado que 
corresponda. Anada la opción correspondiente en caso de estar ausente. 

GRUB TIME0UT=5 

GRUB DISTRIBUTOR="$(sed 's, release .*$,,g' /etc/system-release)" 

GRUB DEFAULT=saved 

GRUB DISABLE_SUBMENU=true 

GRUB_TERMINAL_OUTPUT="con sole" 

GRUBCMDLINE LINUX="vconsole.font=latarcyrheb-sunl6 crashkernel=auto 
vconsole.keymap=latam rhgb quiet" 

GRUB DISABLE RECOVERY="true" 

Guarde los cambios y salga del editor de texto. 

Ejecute lo siguiente para aplicar el cambio en la configuración de Grub2: 

grub2-mkconfig -o /boot/grub2/grub.cfg 
Reinicie el sistema para que surtan efecto los cambios. 
reboot 


8.1.5. Desactivar Plymouth. 

Plymouth es implementación para mostrar un arranque gráfico vistoso. Tiene como objetivo ocultar de la vista 
los complejos mensajes de inicio. En un servidor probablemente resulte poco conveniente y se prefiera en su 
lugar un arranque tradicional que muestren directamente los mensajes de inicio de los servicios. 

Edite el archivo /etc/default/grub: 

vi /etc/default/grub 


Busque rhgb: 


GRUB_TIME0UT=5 

GRUB_DISTRIBUTOR="$(sed 's, release .*$,,g' /etc/system-release)" 

GRUB_DEFAULT=saved 

GRUB_DISABLE_SUBMENU=true 

GRUB_TERMINAL_OUTPUT="console" 

GRUB_CMDLINE_LINUX="vconsole.font=latarcyrheb-sunl6 crashkernel=auto 
vconsole.keymap=latam rhgb quiet" 

GRUB DISABLE RECOVERY="true" 


Elimine rhgb y el espacio sobrante: 
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GRUB_TIME0UT=5 

GRUB_DISTRIBUTOR="$(sed 's, release /etc/system-release)" 

GRUB DEFAULT=saved 
GRUB_DISABLE_SUBMENU=true 
GRUB_TERMINAL_OUTPUT="console" 

GRUB_CMDLINE_LINUX="vconsole.font=latarcyrheb-sunl6 crashkernel=auto 
vconsole. keyiïiap=latam quiet" 

GRUB DISABLE RECOVERY="true" 


Guarde los cambios y salga del editor de texto. 


Ejecute lo siguiente para aplicar el cambio en la configuración de Grub2: 


grub2-mkconfig -o /boot/grub2/grub.cfg 


Reinicie el sistema para que surtan efecto los cambios: 


reboot 


Por favor, continúe con el documento titulado «Ajuste de la zona horaria, fecha y hora del sistema». 
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9. Ajuste de la zona horaria, fecha y hora del sistema. 
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9.1. Equipamiento lógico necesario. 


Antes de comenzar: es importante verificar que esté actualizado el paquete con las zonas horarias. 


Ejecute lo siguiente para verificar actualizaciones en ALDOS, CentOS o Red Hat™ Enterprise Linux: 


yum -y update tzdata 


Ejecute lo siguiente para verificar actualizaciones en openSUSE™ o SUSE™ Linux Enterprise: 


yast -i timezone 


9.2. Procedimientos. 


9.2.1. Configurar la zona horaria. 

La zona horaria generalmente se establece desde el programa de instalación. Si requiere ajustarla, primero 
consulte el contenido del directorio /usr/share/zoneinfo y descienda a los subdirectorios en el interior de éste 
hasta encontrar la zona horaria apropiada para su localidad. 

ls /usr/share/zoneinfo 


El directorio contiene los archivos correspondientes a las zonas horarias del todo el mundo. Está organizado por 
continentes, regiones geográficas y en aigunos casos por países. 


m 


Nota. 


Si utiliza ALDOS 1.4, CentOS 6 o Red Hat™ Enterprise Linux 6 o versiones anteriores de éstos, edite el archivo 
/etc/sysconfig/clock y consulte que zona horaria se estableció previamente: 


vi /etc/sysconfig/clock 


Asumiendo que su localidad es la Ciudad de México, el contenido debe ser similar al siguiente: 


ZONE="America/Mexico_City" 


Cambie el valor de la variable ZONE a la que corresponda a su localidad. Guarde y salga del editor de texto. 


Este paso se omite por completo en CentOS 7, Fedora™ o Red Hat™ Enterprise Linux 7. 
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Afin de evitar problemas posteriores, respalde el archivo /etc/localtime utilizado por el sistema: 
cp /etc/localtime /etc/localtime.bak 

Genere un enlace simbólico que apunte hacia el archivo de zona que corresponda a su localidad sobre- 
escribiendo al archivo /etc/localtime. En el siguiente ejemplo se forzará la creación del enlace simbólico 

/etc/localtime apuntando hacia el archivo /usr/share/zoneinfo/America/Mexico_City: 

ln -sf ../usr/share/zoneinfo/America/Mexico_City /etc/localtime 

9.2.2. Establecer la fecha y hora. 

Para determinar cuál es la fecha y hora actual del sistema, ejecute date sin opciones ni argumentos: 
date 

Lo anterior debe devolver una salida similar a la siguiente: 

lun ago 29 12:23:28 CDT 2016 

El ajuste manual del la hora del sistema puede realizarse ejecutando date con la opción -s (set o establecer) la 
siguiente sintaxis: 

date -s "[dia] [MES] [ano] [hora] : [minuto] : [segundos] " 

En el siguiente ejemplo se establecerá la hora y fecha del sistema a las 15:30:00 del 29 de agosto de 2016: 

date -s "29 AUG 2016 15:30:00" 

9.2.3. Establecer la fecha y hora exactas. 

Si desea establecer la fecha y hora exacta del sistema, instale primero el paquete ntp: 
yum -y install ntp 

Ejecute ntpdate utilizando como argumento el nombre o dirección IP de cualquier servidor NTP. Ejemplo: 
ntpdate 0.pool.ntp.org 

Lo anterior debe devolver una salida similar a la siguiente: 

28 Aug 12:28:51 ntpdate[29180]: adjust time server 132.248.30.3 offset -0.023721 sec 

Es necesario activar e iniciar el servicio correspondiente a NTP para que el sistema siempre esté a la hora 
exacta. 

Ejecute lo siguiente si utiliza ALDOS 1.4, CentOS 6 o Red Hat™ Enterprise Linux 6 o versiones anteriores de 
éstos: 
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chkconfig ntpd on && service ntpd start 

Ejecute lo siguiente si utiliza CentOS 7, Fedora™ o Red Hat™ Enterprise Linux 7 o versiones posteriores de 
éstos: 

systemctl enable ntpd && systemctl start ntpd 
Ejecute lo siguiente si utiliza openSUSE™ o SUSE™ Linux Enterprise: 
insserv ntp on && rcntp start 

Para realizar el ajuste manual de la fecha y hora del sistema con este servicio funcionando, debe ejecutar 
ntpdate con la opción -u para utilizar un puerto aleatorio distinto al 123/UDP y el nombre o dirección IP de 
cualquier servidor NTP como argumento. Ejemplo: 

ntpdate -u 0.pool.ntp.org 

Active e inicie el servicio ntpdate si prefiere forzar el ajuste de la horajunto con cada inicio del sistema. 

Edite el archivo /etc/sysconfig/ntpdate. 

vim /etc/sysconfig/ntpdate 
Encontrará el siguiente contenido: 


# Options for ntpdate 
OPTIONS="-p 2" 

# Number of retries before giving up 
RETRIES=2 

# Set to 'yes' to sync hw clock after successful ntpdate 
SYNC_HWCLOCK=no 


Afiada la opción -u a la variable OPTIONS: 


# Options for ntpdate 
OPTIONS="-p 2 -U " 

# Number of retries before giving up 
RETRIES=2 

# Set to 'yes' to sync hw clock after successful ntpdate 
SYNC_HWCLOCK=no 


Ejecute lo siguiente si utiliza ALDOS, CentOS 6 o Red Hat™ Enterprise Linux 6 o versiones anteriores de éstos: 
chkconfig ntpdate on && service ntpdate start 

Ejecute lo siguiente si utiliza CentOS 7 o Red Hat™ Enterprise Linux 7 o versiones posteriores de éstos: 

systemctl enable ntpdate && systemctl start ntpdate 
Ejecute lo siguiente si utiliza openSUSE™ o SUSE™ Linux Enterprise: 
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insserv ntpdate on && rcntpdate start 


Consulte el documento titulado Configuración y uso de NTP para más detalles respecto del protocolo NTP y 
el uso de ntpdate. 
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10. Desactivar el reinicio con CTRL-ALT-Delete en 
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10.1. Introducción. 

Suele ocurrir que en los centros de datos se den los re-inicios accidentales al pulsar la combinación de teclas 
CTRL-ALT-Delete (CRTL-ALT-Supr en los teclados al espaiïol). Hay una forma muy sencilla de desactivar esta 
función en ALDOS, Fedora™, CentOS, Red Hat™ Enterprise Linux, SUSE™ Linux Enterprise y OpenSUSE™. 

10.1.1. En CentOS 5, Red Hat™ Enterprise Linux 5 y SUSE™ Linux Enterprise 10 y 11 
(SystemV). 

Para distribuciones de GNU/Linux donde se utiliza el tradicional SystemV para la gestión de tareas y servicios 
durante el inicio del sistema, sólo es necesario editar el archivo /etc/inittab: 

vi /etc/inittab 


Localice lo siguiente: 

ca::ctrlaltdel:/sbin/shutdown -t3 -r now 

Comente la línea anterior con una almohadilla: 

# ca::ctrlaltdel:/sbin/shutdown -t3 -r now 


Para que apliquen de inmediato los cambios se debe ejecutar: 

init q 

10.1.2. En ALDOS, CentOS 6 y Red Hat™ Enterprise Linux 6 (Upstart). 

Para distribuciones de GNU/Linux que utilizan Upstart para la gestión de tareas y servicios durante el inicio, se 
edita el archivo /etc/init/control-alt-delete.conf: 

vi /etc/init/control-alt-delete.conf 

Dentro de éste encontrará el siguiente contenido: 
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# control-alt-delete - emergency keypress handling 

# 

# This task is run whenever the Control-Alt-Delete key combination is 

# pressed. Usually used to shut down the machine. 

# 

# Do not edit this file directly. If you want to change the behaviour, 

# please create a file control-alt-delete.override and put your changes there. 

start on control-alt-delete 

exec /sbin/shutdown -r now "Control-Alt-Delete pressed" 


Comente la última línea y anada otra que simplemente se envíe un mensaje informativo al pulsar la 
combinación de teclas Control-Alt-Delete. Ejemplo: 


# control-alt-delete - emergency keypress handling 

# 

# This task is run whenever the Control-Alt-Delete key combination is 

# pressed. Usually used to shut down the machine. 

# 

# Do not edit this file directly. If you want to change the behaviour, 

# please create a file control-alt-delete.override and put your changes there. 

start on control-alt-delete 

#exec /sbin/shutdown -r now "Control-Alt-Delete pressed" 
exec echo "Control-Alt-Delete desactivado por el administrador" 


Para aplicar de inmediato los cambios, ejecute: 

initctl reload-configuration 


Cabe senalar que si el sistema actualiza el paquete upstart, el archivo /etc/init/control-alt-delete.conf será 
sobre-escrito y se perderán los cambios realizados, por lo que puede ser conveniente realizar todo lo anterior 
en un archivo denominado /etc/init/control-alt-delete.override. 

10.1.3. En Fedora™, CentOS 7, Red Hat™ Enterprise Linux 7 y openSUSE™ 

(Systemd). 

Para distribuciones de GNU/Linux que utilizan Systemd como sistema de gestión de tareas y servicios durante 
el inicio, el comportamiento de teclas CTRL-ALT-Delete se determina por un enlace simbólico denominado 
/usr/lib/systemd/system/ctrl-alt-del.target que apunta hacia el archivo reboot.target, localizado dentro del 
mismo directorio. 

Primero elimine el enlace simbólico: 

rm -f /usr/lib/systemd/system/ctrl-alt-del.target 


Después genere un nuevo archivo como /usr/lib/systemd/system/ctrl-alt-del.target: 

vi /usr/lib/systemd/system/ctrl-alt-del.target 


Anada cualquier comentario simple. Ejemplo: 

# /usr/lib/systemd/system/ctrl-alt-del.target desactivado. 
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Si lo prefiere, también puede utilizar el siguiente contenido para que simplemente se envíe un mensaje 
informativo al pulsar la combinación de teclas Control-Alt-Delete. Ejemplo: 


# /usr/lib/systemd/system/ctrl-alt-del.target desactivado. 

[Unit] 

Description=Reboot Disabled 
DefaultDependencies=no 

[Service] 

Type=oneshot 

ExecStart=/bin/echo "Control-Alt-Delete desactivado por el administrador" 
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11. Planificadores de Entrada/Salida en Linux. 
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11.1. Introducción. 

11.1.1. cQué son los planificadores de entrada/salida? 

La planificación de Entrada/Salida ( Input/Output Scheduling o 1/0 scheduting) consiste en el método mediante el 
cual los sistemas operativos deciden el orden en que se procesan las peticiones de lectura/escritura en el disco 
duro o unidad de almacenamiento. Elegir un algoritmo de planificación de Entrada/salida tiene como objetivo 
disminuir los tiempos de búsqueda (see/c times), priorizar las peticiones de ciertos procesos de Entrada/Salida, 
asignar un ancho de banda más adecuado a cada proceso o garantizar que algunas peticiones se atenderán 
antes de una fecha de caducidad. Básicamente se disenó para mitigar la demora de los tiempos de búsqueda 
que utilizan el brazo y el cabezal de los disco duros para moverse desde una posición hacia otra más alejada. 

La mayoría de los planificadores de Entrada/Salida ( 1/0 schedulers) se basan sobre el algoritmo del elevador, 
el cual determina el movimiento del brazo de un disco y cabezal al servir peticiones de lectura/escritura. Este 
algoritmo basa su nombre sobre el comportamiento del elevador de un edificio, donde éste continúa su 
trayectoria actual hacia arriba o hacia abajo hasta que éste se vacía por completo, deteniéndose sólo para 
permitir que nuevos individuos lo aborden siempre que éstos vayan en la misma dirección actual del elevador. 

11.2. Planificadores de Entrada/Salida disponibles en el núcleo de Linux. 

11.2.1. Anticipatory. 

Tiene como objetivo incrementar la eficiencia de la utilización del disco duro al anticipar las operaciones 
sincrónicas de lectura. Fue el planificador de Entrada/Salida predeterminado del núcleo de Linux desde la 
versión 2.6.0 hasta la versión 2.6.18. Fue eliminado del núcleo de Linux a partir de la versión 2.6.33, debido a 
que hoy en día hay muy pocas unidades de almacenamiento basadas sobre los estándares SCSI-1 y IDE/ATA y 
que aún estén en operación. 

Era ideal para servidores HTTP o sistemas de Escritorio con discos duros SCSI-1 o IDE/ATA, pues se lograba 
un rendimiento superior. 

Funciona realizando una demora controlada antes de despachar los procesos de Entrada/Salida para agregar o 
re-ordenar las operaciones de búsqueda, mejorando el desempeno y reduciendo de manera significativa las 
operaciones de petición de los discos duros. Está disenado específicamente para optimizar los sub-sistemas de 
discos pequenos o bien muy lentos, como es el caso de discos duros con estándar SCSI-1 y algunos antiguos 
modelos de IDE/ATA. 
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Es totalmente inadecuado para discos duros modernos, pues éstos utilizan TCQ ( Tagged Command Queuing ), 
que es una tecnología consiste en la optimización de peticiones de lectura/escritura desde la propia unidad de 
disco duro y permiten realizar múltiples peticiones de lectura/escritura. Esta tecnología es utilizada en los discos 
duros con el estándar SCSI-2, PATAy SATA, es decir todos los modernos disco duros que existen hoy en día en 
el mercado. Es totalmente inapropiado para unidades de almacenamiento de alto desempeiïo, así como con 
arreglos de discos por RAID. 

Asumiendo que se está ejecutando CentOS 6 y Red Hat™ Enterprise Linux 6 —y versiones posteriores de 
éstos— y que se dispone de un disco duro basado sobre el estándar SCSI-1 o bien IDE/ATA que se ha 
asignado como el dispositivo /dev/sda, este planificador de Entrada/Salida puede aplicarse de manera 
inmediata ejecutando: 

echo "anticipatory" > /sys/block/sda/queue/scheduler 


Lo anterior hará que el sistema utilice este planificador de Entrada/Salida hasta el siguiente reinicio. Verifique 
que realmente se ha establecido como el planificador de Entrada/Salida actual ejecutando lo siguiente: 

cat /sys/block/sda/queue/scheduler 


Lo anterior debe devolver una salida similar a la siguiente: 

[anticipatory] noop deadline cfq 


Para hacer el cambio permanente en CentOS 6 y Red Hat™ Enterprise Linux 6 —y versiones anteriores de 
éstos—, edite el archivo /boot/grub/menu.lst: 

vi /boot/grub/menu.lst 


Afiada a los argumentos de inicio del núcleo la opción elevator, con el valor anticipatory. Ejemplo: 


# grub.conf generated by anaconda 

# 

# Note that you do not have to rerun grub after making changes to this file 

# NOTICE: You have a /boot partition. This means that 

# all kernel and initrd paths are relative to /boot/, eg. 

# root (hdO,0) 

# kernel /vmlinuz-version ro root=/dev/sda2 

# initrd /initrd-[generic-Jversion.img 
#boot=/dev/sda 

default=0 

timeout=5 

splashimage=(hdO,0)/grub/splash.xpm.gz 

hiddenmenu 

password --md5 $l$xll. tiAbo$5a88IZ2yKPvtdYG51dAmi/ 
title centos (2.6.32-504.el6.x86_64) 
root (hd0,0) 

kernel /vmlinuz-2.6.32-504.e!6.x86_64 ro root=UUID=09c6dc39-a62b-409e-8306-5344640cdl04 rdLVM 
_LV=Swap/LogVol00 rd_N0_LUKS rdNOMD rdNODM LANG=es_MX.UTF-8 SYSF0NT=latarcyrheb-sunl6 KEYBOARDTYPE 
=pc KEYTABLE=la-latinl crashkernel=auto rhgb quiet elevator=anticipatory 
initrd /initramfs-2.6.32-504.e!6.x86_64.img 


11.2.2. CFQ. 

CFQ —acrónimo de Completely Fair Queuing o encolado de procesamiento completamente justo — es el 
planificador de Entrada/Salida predeterminado de CentOS y Red Hat™ Enterprise Linux. Brinda un rendimiento 
superior para la mayoría de los usos que se le pueda dar al sistema operativo. 
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Su objetivo es mantener una cola de procesamiento de Entrada/Salida escalable y por proceso que intenta 
distribuir equitativamente el ancho de banda disponible entre todas las peticiones de Entrada/Salida. 

Realiza peticiones sincrónicas enviadas por un proceso dentro de un número de colas de procesamiento por 
proceso y luego distribuyendo intervalos de tiempo para cada una de las colas de procesamiento. La longitud de 
estos intervalos —así como el número de peticiones que tiene permitido una cola de procesamiento— depende 
de la prioridad del mismo procesos de Entrada/Salida. De este modo, las peticiones asincrónicas para todos los 
procesos son agrupadas y procesadas en menos colas de procesamientos, asignando una por prioridad. 

Funciona de modo similar al planificador Anticipatory, es decir manteniendo una buena capacidad de 
procesamiento al permitir que las colas de procesamiento puedan pausar al finalizar un proceso de 
Entrada/Salida y anticipando la petición más cercana de ese mismo proceso. 

Puede verificar que CFQ es el planificador de Entrada/Salida predeterminado ejecutando lo siguiente: 
cat /sys/block/sda/queue/scheduler 


Lo anterior debe devolver una salida similar a la siguiente: 


[cfq] anticipatory noop deadline 


Sólo mantenga o restaure la configuración predeterminada del gestor de arranque para utilizar este planificador. 

11.2.3. Deadline. 

Funciona de modo similar al tiempo real. Utiliza una política de asignación en circuito (round robin) que intenta 
distribuir equitativamente las peticiones de Entrada/Salida, evitando se agote la capacidad de procesamiento. 

Básicamente impone tiempos de caducidad ( deadline ) a todas las operaciones de Entrada/Salida a fin de 
impedir que se agote la capacidad de recibir peticiones. Utiliza cinco colas de procesamiento, dos de las cuales 
son ordenadas de acuerdo a los tiempos de caducidad, al mismo tiempo que las colas de procesamiento son 
ordenadas de acuerdo a su número de sector. 

Antes de servir la siguiente petición, el algoritmo decide que cola de procesamiento utilizar, otorgando mayor 
prioridad a las peticiones de lectura, verificando después si ha caducado la primera petición en la cola de 
procesamiento. 

De modo predeterminado los tiempos de caducidad son de 500 ms para las peticiones de lectura y de 5 
segundos para las peticiones de escritura. 

Se recomienda su uso para servidores dedicados para bases de datos y particularmente para aquellos sistemas 
que disponen de discos duros con capacidad de TCQ, así como en sistemas con unidades de almacenamiento 
de alto desempeno, es decir discos duros con el estándar SCSI-2, PATAo SATA 

Asumiendo que se dispone de un disco duro o unidad de almacenamiento, que se ha asignado como el 
dispositivo /dev/sda, este planificador de Entrada/Salida puede aplicarse de manera inmediata ejecutando: 


echo "deadline" > /sys/block/sda/queue/scheduler 


Lo anterior hará que el sistema utilice este planificador de Entrada/Salida hasta el siguiente reinicio. Verifique 
que realmente se ha establecido como el planificador de Entrada/Salida actual ejecutando: 
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cat /sys/block/sda/queue/scheduler 

Lo anterior debe devolver una salida similar a la siguiente: 

[deadline] anticipatory noop cfq 

Para hacer el cambio permanente en ALDOS 1.4, CentOS 6 y Red Hat™ Enterprise Linux 6 —y versiones 
anteriores de éstos—, edite el archivo /boot/grub/menu.lst: 

vi /boot/grub/menu.lst 

Anada a los argumentos de inicio del núcleo la opción elevator, con el valor deadline. Ejemplo: 


# grub.conf generated by anaconda 

# 

# Note that you do not have to rerun grub after making changes to this file 

# NOTICE: You have a /boot partition. This means that 

# all kernel and initrd paths are relative to /boot/, eg. 

# root (hd0,0) 

# kernel /vmlinuz-version ro root=/dev/sda2 

# initrd /initrd-[generic-Jversion.img 
#boot=/dev/sda 

default=0 

timeout=5 

splashimage=(hd0,0)/g rub/splash.xpm.gz 
hiddenmenu 

password --md5 $l$xll. tiAbo$5a88IZ2yKPvtdYG5ldAmi/ 
title centos (2.6.32-504.el6.x86_64) 
root (hd0,0) 

kernel /vmlinuz-2.6.32-504.el6.x86_64 ro root=UUID=09c6dc39-a62b-409e-8306-5344640cdl04 rdLVM 
_LV=Swap/LogVol00 rd_N0_LUKS rd_N0_MD rd_N0_DM LANG=es_MX.UTF-8 SYSF0NT=latarcyrheb-sunl6 KEYBOARDTYPE 
=pc KEYTABLE=la-latinl crashkernel=auto rhgb quiet elevator=deadline 
init rd /init ramfs-2.6.32-504.e!6.x86_64.img 


Para hacer el cambio permanente en CentOS 7 y Red Hat™ Enterprise Linux 7 —y versiones posteriores de 
éstos—, edite el archivo /etc/default/grub: 

vi /etc/default/grub 


Afiada a los argumento de inicio del núcleo la opción elevator, con el valor deadline. Ejemplo: 


GRUB_TIME0UT=5 

GRUB_DISTRIBUTOR="$(sed 's, release .*$,,g' /etc/system-release)" 

GRUB_DEFAULT=saved 

GRUBDISABLE SUBMENU=true 

GRUB_TERMINAL_OUTPUT="con sole" 

GRUB_CMDLINE_LINUX="vconsole.font=latarcyrheb-sunl6 crashkernel=auto rhgb quiet 
elevator=deadline" 

GRUB DISABLE RECOVERY="true" 


Ejecute lo siguiente para aplicar el cambio en la configuración de Grub2: 


grub2-mkconfig -o /boot/grub2/grub.cfg 


11.2.4. Noop. 

Es el planificador de Entrada/Salida más simple que existe. Funciona insertando todas las peticiones de 
Entrada/Salida dentro de una cola de procesamiento tipo FIFO (first in, first out, que se traduce como primero 
en entrar, primero en salir) e implementando fusión de peticiones. 
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Asume que la optimización del desempeiìo de Entrada/Salida será gestionada por otro nivel de la jerarquía de 
Entrada/Salida, como pudiera ser en el dispositivo de bloque o bien un HBA (Host Bus Adapter o adaptador de 
transporte del anfitrión) inteligente, como en el caso en los controladores RAID para SAS (Serial Attached 
SCSI) o bien un controlador conectado de manera externa, como ocurre con los SAN (Storage Area Network o 
Redes de Área de Almacenamiento). 

Se utiliza principalmente con unidades de estado sólido (SSD, Solid State Drives) basadas sobre memoria 
Flash, NAND o SDRAM y en dispositivos que carecen de dependencia a movimientos mecánicos y que carecen 
de re-ordenamiento de peticiones múltiples de Entrada/Salida, donde éstas pudieran agruparse todas las que 
están físicamente cercanas reduciendo el tiempo de petición y la variabilidad del tiempo de servicio de 
Entrada/Salida. 


Asumiendo que se dispone de un disco duro o unidad de almacenamiento que se ha asignado como el 
dispositivo /dev/sda, este planificador de Entrada/Salida puede aplicarse de manera inmediata ejecutando: 

echo "noop" > /sys/block/sda/queue/scheduler 

Lo anterior hará que el sistema utilice este planificador de Entrada/Salida hasta el siguiente reinicio. Verifique 
que realmente se ha establecido como el planificador de Entrada/Salida actual ejecutando: 

cat /sys/block/sda/queue/scheduler 

Lo anterior debe devolver una salida similar a la siguiente: 

[noop] anticipatory deadline cfq 


Para hacer el cambio permanente en ALDOS 1.4, CentOS 6 y Red Hat™ Enterprise Linux 6 —y versiones 
anteriores de éstos—, edite el archivo /boot/grub/menu.lst: 

vi /boot/grub/menu.lst 


Anada a los argumento de inicio del núcleo la opción elevator, con el valor noop. Ejemplo: 


# grub.conf generated by anaconda 

# 

# Note that you do not have to rerun grub after making changes to this file 

# NOTICE: You have a /boot partition. This means that 

# all kernel and initrd paths are relative to /boot/, eg. 

# root (hdO,0) 

# kernel /vmlinuz-version ro root=/dev/sda2 

# initrd /initrd-[generic-Jversion.img 
#boot=/dev/sda 

default=0 

timeout=5 

splashimage=(hdO,0)/g rub/splash.xpm.gz 
hiddenmenu 

password --md5 $l$xll. tiAbo$5a88IZ2yKPvtdYG5ldAmi/ 
title centos (2.6.32-504.el6.x86_64) 
root (hd0,0) 

kernel /vmlinuz-2.6.32-504.el6.x86_64 ro root=UUID=09c6dc39-a62b-409e-8306-5344640cdl04 rdLVM 
LV=Swap/LogVol00 rd_N0_LUKS rd_N0_MD rdNODM LANG=es_MX.UTF-8 SYSF0NT=latarcyrheb-sunl6 KEYBOARDTYPE 
=pc KEYTABLE=La-Latinl crashkernel=auto rhgb quiet elevator=noop 
init rd /init ramfs-2.6.32-504.eL6.x86_64.img 


Para hacer el cambio permanente en CentOS 7 y Red Hat™ Enterprise Linux 7 —y versiones posteriores de 
éstos—, edite el archivo /etc/default/grub: 


vi /etc/default/grub 
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Afiada a los argumento de inicio del núcleo la opción elevator, con el valor noop. Ejemplo: 


GRUB_TIME0UT=5 

GRUB_DISTRIBUTOR="$(sed 's, release .*$,,g' /etc/system-release)" 

GRUB_DEFAULT=saved 

GRUB DISABLE SUBMENU=true 

GRUB_TERMINAL_OUTPUT="console" 

GRUB_CMDLINE_LINUX="vconsole.font=latarcyrheb-sunl6 crashkernel=auto rhgb quiet 

elevator=noop" 

GRUB DISABLE RECOVERY="true" 


Ejecute lo siguiente para aplicar el cambio en la configuración de Grub2: 
grub2-mkconfig -o /boot/grub2/grub.cfg 

11.3. ^Cuál planificador de Entrada/Salida elegir? 

Depende del tipo de unidad(es) de almacenamiento, servicios utilizados en el sistema, capacidades de 
procesamiento y los tipos de procesos que se quieran priorizar. 

En general, se puede utilizar: 

• anticipatory en equipos con discos duros viejos (SCSI-1 o IDE/ATA). Es decir, equipos muy antiguos. 

• cfq se recomienda en sistemas para uso general o bien se desconoce qué hacer. Es el planificador 
predeterminado. 

• deadline se recomienda en servidores con unidades de almacenamiento tipo PATA, SATA, SCSI-2 y 
unidades de almacenamiento que carecen de HBA inteligente. 

• noop se recomienda en sistemas con unidades de estado sólido basadas sobre memoria Flash, NAND, 
SDRAM, máquinas virtuales o bien sistemas con unidades de almacenamiento controladas por HBA 
inteligentes — como en los casos de unidades RAID para Serial SCSI o bien si el sistema utiliza un 
SAN. 

Se recomienda realizar pruebas de desempeho y de rendimiento, antes de elegir el planificador de 
Entrada/salida definitivo para un sistema en particular. Elija el que se considere que funcione mejor. 

11.4. Bibliografía. 
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12. Uso del disco de rescate de CentOS 7. 


Autor: Joel Barrios Duenas 

Correo electrónico: darkshram en gmail punto com 

Sitio de Red: http://www.alcancelibre.org/ 


Creative Commons Reconocimiento-NoComercial-Compartirlgual 2.1 


© 1999-2016 Joel Barrios Duenas. Usted es libre de copiar, distribuir y comunicar públicamente la obra y hacer obras derivadas bajo las condiciones siguientes: a) 
Debe reconocer y citar al autor original. b) No puede utilizar esta obra para fines comerciales. c) Si altera o transforma esta obra o genera una obra derivada, sólo 
puede distribuir la obra generada bajo una licencia idéntica a ésta. Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. 
Alguna de estas condiciones puede no aplicarse si se obtiene el permiso del titular de los derechos de autor. Los derechos derivados de usos legítimos u otras 
limitaciones no se ven afectados por lo anterior. La información contenida en este documento y los derivados de éste se proporcionan tal cual son y los autores no 
asumirán responsabilidad alguna si el usuario o lector hace mal uso de éstos. 


12.1. Procedimientos. 

Apague el sistema. 

Si utiliza máquina virtual, configure la imagen ISO de CentOS 7 para ser utilizada como unidad óptica. 



Si utiliza máquina real, sólo inserte el disco de instalación de CentOS 7 en la unidad óptica. 

Inicie el sistema con el disco de instalación. En cuanto aparezca la pantalla de bienvenida, pulse la tecla t o 
bien la tecla i. Tendrá sólo 60 segundos para hacerlo. 
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CentOS ? 

. .. díò 

Install CentOS ? 

Test this K:<tia A install CentOS ? 

Troubleshooting > 

Press Tab for full configuration options on nenu items. 


Seleccione la entrada denominada «Troubleshooting.» y pulse la tecla «-* (ENTER). 


CentOS ? 

, ...<3ò 

Install CentOS ? 

Test this Bcrtia H install CentOS 7 

Troubleshooting > 

Prcss Tab for fuil configuration options on nenu itens. 


Seleccione la entrada denominada «Rescue a CentOS system» y pulse la tecla (ENTER). 
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Troublcshooting 

Install CcntOS 7 In basic graphics modc .|>U - 

hescuc a CcntOS sgsten 
Run a nenury tcst 

Boot fron local drioc 

Rcturn to nain menu < 

Prcss Tab for fuil configuration optíons on nemi items. 

If the system uill not boot, this lets you access files 
and edit config files to try to get it bootíng again. 


Permita que inicie el sistema. 


1 ] Stopped Journal Servlcc. 

Starting Journal Servicc... 

Mounting Debug File Sgstem... 

Starting Create llst of requlred st... nodes for the current kernel... 
0K I Listening on udcv Controi Sockct. 

Starting itcmount Root and Xernel File Systems... 

0K ] Stopped target Initrd Root File Sgstem. 

Mounting Tcmporarg Dircctorg... 

0K ] Hounted POSIX Hessage Queue File Sgstem. , \ 

l)K ] Mounted Huge Pages File Sgstem. Ç \ ' 

0K ] hountcd Debug File Systcm, 
iil 1 hountcd Temporarg Directorg. 

IIK ) Started Opplg Xernel Uariables. 

0K ] Startcd Create list of rcquired sta...cc nodes for the currcnt kcrncl. 
0K ] Started Rcmount Root and Xernel File Sgstems. 

Startlng Rebuild Harduare Database... 

Starting Logout off all iSCSI scssions on shutdoun.. . 

Starting Rebuild Dgnamic Linker Cache . , , 

Startiny Load/Saoe Random Seed. .. 

Starting Configure read-onlg root support... 

Starting Creatc Static Dcvice Nodcs ìn /dcv... 

UK ] Started Journal Service. 

0K ] Started Logout off alt iSCSl sessions on shutdoun. 

Starting Flush Journal to Pcrsistent Storage... 


Aparecerá la pantalla de opciones del modo de rescate. 
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" if t htr graphical insta 11 at lon intcrface fails to start. try again uith thc 
inst.tcxt bootoptíon to start tcxt installation 
" uhrn rcporting a bug add logs from /tmp as separate text/plain attachments 



Rrscue 


Thc rcscuc cnvironmcnt ui 11 nou attcmpt to f ind yonr Linuy4,nsta j iat ion and moun 
t |t undrr thr dirn:tori| ! /mnt/sijs imagc, You can thcn/miake a\»u changes reflllre 
á to your systcm. Choose '1' to proceed uith this strjp. ^ 

You can choosc to mount your fiic systcms rcad-only in M miu^of-Tcad-uritc by cho 
;>s ing 'Z' . 

If for some reason this process does not uork choose '3' to skip directly to a s 
hc 11 . 

1) Continue 

2) Rcad-only mount 

3) Skip to shcll 

1) Quit (Rrboot ) 

Picasc make a scicction from thc above: 


(anaconda I t :«w ln» 2 :shel I 3: log ÎTitorajc lo> Suitch tnb: rtlt.Tah I llrlu: fl 


Tiene cuatro opciones a elegir. 

1. «Continue». El entorno de rescate intentará encontrar una instalación de GNU/Linux en la 
unidad de almacenamiento e intentará montar todas las particiones en el árbol que corresponde, 
debajo del directorio /mnt/sysimage. De este modo se podrá acceder en modo lectura y 
escritura al sistema de archivos y así poder realizar los cambios o modificaciones que requiera. 

2. «Read-only mount». Similar a la opción anterior, pero todo el sistema de archivos se montará en 
modo de sólo lectura. 

3. «Skip to shell» Se omitirá el montado del sistema de archivos de la unidad de almacenamiento. 
Esta opción es idónea para realizar reparaciones del sistema de archivos de las particiones, 
utilizando fsck o bien para realizar operaciones que requieren que las particiones estén sin 
montar. 

4. «Quit». Reiniciará el sistema. 


Escriba 1 y pulse la tecla ^ (ENTER). 


« lf the graphiCAl lnstallation lntcrface fails to start. try agaln ulth the 
inst.tcxt bootoptíon to start tcxt installation 
• uhen rcporting a bug add logs from /tmp as separate text/piain attachments 


Rescue 

The rcscuc cnvironmcnt uill nou attcmpt to find your Linuy^nsta I lat ion and moun 
t it undcr thc directorij : /mnt/sysimagc. You can then/mafce .ii»j changes require 
d to ijour system. Choose 'l’ to proceed uith this stisp. 

You can choose to mount your filc systems rcad-only inVtea.f of read-uritc by cho 
osing '2'. 

lf for some reason this process does not uork choose '3' to sklp directly to a s 
hcl 1 . 

1) Continue 

2) Rcad-only mount 

3) Skip to shell 

4) Quit (Reboot) 


Plcasc makc a sclection from thc abovc: 1 


anacondal l:main» 2:shetl 

3: log 

4 : xtora 

9 

e- lo> Suitrî» tiib‘ ftlt»Tab t Mc I 


Aparecerá la siguiente pantalla que indica que el sistema de la unidad de almacenamiento ha sido montada 
debajo de /mnt/sysimage. Pulse la tecla ^ (ENTER). 
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gsing 2 . 

If for somc rcason this proccss docs not uork choosc '3’ to skip dircctly to <i s 

ke)l. 

1) Continuc 

2) Read-oniy mount 

3) Skip to shc 11 
1) Quit (Rcboot) 

Plcasc make a selection from the «booe: 1 

Rescue Mount 

four system Iias bccn mountcd under /mtit/sys imoge. 

If you uould Iike to mokc your systcm thc root cnoironmcnt, run the commond: 
cliroot /mnt/sys ímoye 

Pour system is mountcd under thc /mnt/sysimogc directory. 

Plcase prcss <rcturn> to gct a shcll. _ 


lonaconda I l #Mln- Z:xhell 3:log 4 :storage-lo> Suitr.h tab: íì!t*Tnb t Mrlp: K1 



Ingresará a un intérprete de mandatos que se está ejecutando desde la unidad óptica. Tiene un muy limitado 
número de herramientas, pero incluye lo mínimo necesario para realizar la mayoría de las operaciones 
necesarias en una emergencia. 


1) Contimir 


Z) Read-only mount 

3) Skip to shc11 

4) Quit (Rcboot) 


Mease makc a selection from the abovc: 1 




Rescuc Mount 

four system has been mounted under /miit/sysimaye. 

If you uould likc to make your systcm the root cnvironmcnt. run thc command: 
chroot /mnt/sysimagc 

four system is mountcd undcr thc /mnt/sysimagc directory. 

Please prcss <return> to get a shell. 

Ulien finishcd, please exit from the shell and your systcm ulll rcboot. 
sh-i.2* 




Ejecute lo siguiente: 


df -h 


Observará una salida similar a la siguiente: 
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itcscuc hount 

/our systcm has bccn mountcd undcr /mntxsysimagc. 

ir ynu uould likc to make your system thc root enuironment, run the command: 
chroot /mnt/sysimagc 

four systcm is mountcd undcr the /mnt/sysimage dírectory 
Please press <return> to gct a shell. 

Jhcn finishcd. plcasc cxit from thc shell and your system urii reboot. 
sh-d.H» df -h 


filesystem 

Size 

Used 

Aua i 1 

Usex 

Mounted on 

/deo/mappcr/1ivc-ru 

Z.0G 

9Z7M 

Ì.IG 

47X 

/ 

íevtmpf s 

47BM 

e 

478M 

0z 

/dev 

tmpf s 

437M 

6 

497M 

0x 

/dev/shm 

tmpfs 

-I97M 

13M 

484M 

3/ 

/run 

tmpf s 

437M 

0 

497M 

0X 

/sys/fs/cgroup 

/deo/srO 

(>Ô3M 

603M 

0 

100/ 

/run/install/repo 

tmpf s 

51ZM 

Z16K 

51ZM 

1/ 

/tmp 

/dcv/mapper/centos-root 

14G 

Z.IG 

ÌZG 

16/. 

/mnt/sysimagc 

/dev/sda l 

437M 

10/M 

391M 

ZZ/ 

/mnt/sysimage/boot 

tmpf s 

497M 

0 

497M 

0/ 

/mnt/sys1magc/dev/shm 


sh-t.Z» 




Lo anterior deberá mostrar —entre otras cosas— que las particiones o volúmenes lógicos en la unidad de 
almacenamiento han sido montadas debajo de /mnt/sysimage. 

Ejecute lo siguiente: 


chroot /mnt/sysimage 


1) Continuc 
Z) Read only mount 
3) Skip to shell 
-1) Quit (Rcboot) 

Plcasc make a setectlon from the abooe: 1 

Rescue Mount 

four systcm has bccn mountcd under /mnt/sysimagc. 

If you uould 1lkc to make your system the root environment. run the command: 
cliroot /mnt/sysfmage 

four system is mountcd undcr thc /mnt/sysimagc dlrectory. 

Pleasc prcss <return> to gct a shetl. 

4hen finished, ptease exit from thc shell and your system uiII reboot. 
sh 1.21 chroot /mnt/sysimagc/ 
bash4. Zli 


Vuelva a ejecutar lo siguiente: 

df -h 

Observará una salida similar a la siguiente: 


j I 

( iMM j 
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Se mostrarán sólo las particiones del sistema operativo instalado en la unidad de almacenamiento. 


Cambiará del sistema operativo del disco de rescate, al sistema operativo en el disco duro. 


Ésto puede ser de mucha ayuda para, por mencionar un ejemplo, cambiar la contraseha del usuario root, para 
lo cual sólo se requiere ejecutar passvvd sin argumentos: 


passwd 


Puede realizar reparación de sistema de archivos —cualquiera excepto las que correspondan a / o /usr—. Se 
requiere desmontar las particiones correspondientes para realizar este procedimiento. Ejemplo: 


umount /boot 
xfsrepair /dev/sdal 
mount /boot 


Para reparar el sistema de archivos correspondiente a / o /usr es necesario salir de chroot y desmontar todas 
las partciones, una por una. 

Ejecute «exit» para regresar al intérprete de mandatos de la unidad ótica y nuevamente ejecute «exit» reinicar 
el sistema. 

Retire el DVD o disco compacto de la unidad óptica. 

Es normal que el sistema instalado muestre el siguiente mensaje después de haber utilizado un disco de 
rescate: 
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I ] Mounted /hoinc . 

t > 1 Mounted /var/lib. 

Starting Load/Save Random Seed... 

( 1 ] Started Load/Savc Random Sccd. 

( ] Mounted /var /uuu. 

( > ] Mountcd /boot. 

( UK ] Reachcd target Local File Systcms. 

Starting Tcll Plgmouth To Uritc Out Runtimc Pata 
Starting (mport netuork configuration from iníframfs V, 

Starting Relabel all f 1 lesystems, if necessarij.. i 
I ] Started Tell Plymouth To Uritc Out Runtimc Data. 

I ] Startcd Import netunrk conf igur.it ion f rom inltramfs. 

Starting Create Uolatile Files and Directories. .. 

»»« Advcrtencia Se requiere re-etiquetar la política SELinux targeted 
»»• El reetiquetado puede tomar un tiempo largo, dependiendo det archivo 
»»» el tamaiio de sistcma g velocidad de discos rigldos. 

I ] Started Creatc Uolatilc Files and Dircctories. 

Starting Security ftuditing Servlce... 

I 1 > ] Startcd Sccurltg Ouditing Service. 

Starting Update UTMP about Sgstcm Boot/Shutdoun... 

I ] Started Update IITMP about Sgstem lloot/Shutdoun. 

Jarning: Skipping the foilouing R/f) f i lcsgstcms : 

/sgs/fs/cgroup 
1H.3z 


El mensaje indica —en un mensaje mal traducido— que se debe re-etiquetar el conjunto de políticas 
denominado «targeted». El procesos puede demorar varios minutos y reiniciará automáticamente el sistema 
cuando llegue el momento. 

Tras lo anterior, el sistema debe iniciar normalmente. 
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13. Iniciando el sistema en nivel de ejecución 1 (nivel 
mono-usuario) en CentOS 7. 

Autor: Joel Barrios Duehas 

Correo electrónico: darkshram en gmail punto com 

Sitio de Red: http://www.alcancelibre.org/ 


Creative Commons Reconocimiento-NoComercial-Compartirlgual 2.1 


© 1999-2016 Joel Barrios Duenas. Usted es libre de copiar, distribuir y comunicar públicamente la obra y hacer obras derivadas bajo las condiciones siguientes: a) 
Debe reconocer y citar al autor original. b) No puede utilizar esta obra para fines comerciales. c) Si altera o transforma esta obra o genera una obra derivada, sólo 
puede distribuir la obra generada bajo una licencia idéntica a ésta. Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. 
Alguna de estas condiciones puede no aplicarse si se obtiene el permiso del titular de los derechos de autor. Los derechos derivados de usos legítimos u otras 
limitaciones no se ven afectados por lo anterior. La información contenida en este documento y los derivados de éste se proporcionan tal cual son y los autores no 
asumirán responsabilidad alguna si el usuario o lector hace mal uso de éstos. 


13.1. Introducción 

Existen situaciones en las cuales se puede requerir iniciar el sistema en nivel de ejecución 1, también 
denominado nivel monousuario, a fin de realizar tareas de mantenimiento o bien para realizar correcciones y 
otros ajustes. 

13.2. Procedimientos. 


Al iniciar el sistema se mostrará la pantalla del gestor de arranque —GRUB2 o Grand Unified Boot Loader 
version 2 — . Pulse cualquier tecla —excepto ^ (ENTER)— para detener la cuenta regresiva de 3 segundos y 
poder ingresar al menú de GRUB. 



Seleccione el núcleo a utilizar y pulse la tecla «e» para editar las opciones de arranque de éste. Aparecerá la 
siguiente pantalla: 
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sctparams ’CentOS Linux (3.10.0-32?.el7.x8b bi) ? (Corc)’ 

load.video 

set gfxpayload=kecp 

insmod gzio ^ 

insmod part.msdos I 

insmod xfs , \j.:j 

sct root ='hd0.msdosZ' 

if I x$feature_platform_search_hint xg lí then 
search no floppg fs uuld set-root • li int- blo:.-hd0, msdos2 - hin\ 

t cfi-hd0,msdos2 hint-baremctaI ahcl0,msdos2 h1nt= ' hdO , msdos2' ccidabbf 2\ 
3b5-iaa3-bf30-1dd236efiaeO 
else 

scarcli no fioppg fs-uuid set=root ecida66f-29b5 1aa3 bf90 1dd2\ 

Ï6efiaeO i 

Prcss Ctrl-x to start, Ctrl-c for a command prompt or Escapc to 
discard cdits and return to the mcnu. Pressing Tab lists 
possíble completions. 


Baje un poco en la pantalla hasta encontrar la línea correspondiente a los argumentos de arranque del núcleo: 


lnsmod gzio t 

insmod part_msdos 
insmod xf s 

set root=’hdO,msdos2' 

if ( x$feature_platform_scarch_hint = xg 1; then ,__ 

search no-floppg --fs-uuld -set-root --hinjt-bjos hd0,msdos2 --hin\ 
t efl=hd0,msdos2 hint baremctal ahci0,msdos2 -hlnt-' hdu,Mtdnj2’ ee1da6bf -2\ 
Ïb5-1aa3-bf90-1dd29bef1ae0 
else 

search - no-floppg fs-uuld -set=root ee1da66f 29b5 1aa3-bf90-1dd2\ 

)6cf1ae0 

■ i 

linuxl& /vml i nuz-3.10.0-32? . e 17. x8b_61 root =/dev/mapper/'centos root ro\ 

. d.Ivm.lv^centos/root rhgb quict 

'nitrdlb /initramfs-3.10.0-327.el?.x86_61.img 1 

Prcss Ctrl-x to start, Ctrl-c for a command prompt or Escapc to 
discard cdits and rcturn to the mcnu. Pressing Tab lists 
possible completions. 


Agregue un espacio y un número 1, al final de la línea y pulse CTRL+X para iniciar el sistema en nivel de 
ejecución 1. 
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insmod gzio t 

insmod part_msdos 
insmod xfs 

set root=’hd0,msdos2’ 

if ( x$feature_platform_search_hint = xy 1 ; then 
search no-floppij fs-uuid -set-root -hint fmu. |>d9,msdosZ --hin\ 

l ef i =hdO,msdosZ hint-haremeta 1 ahciO.msdosZ -hint^*lul'a.uídniZ’ eetdahhf -ZV 
Îb5-taa3-bf90-tddZ96cf tacO 
else 

search no-floppij fs-uuid srt=root eetdahfcf Z9b5 daa3-bf90 tddZ\ 

)6ef tac0 

f i 

linuxl6 /vml inuz-3.10.0-^Z? '■I7.x86.6t root = xdeoxmapper/centos-root ro\ 
rd . Ivm. 1 v=centos/root rhgb quii-t 1_ 

initrdl6 /initramfs-3.10.o- Jí/ .elV,x86_6t.img 1 

Prcss Ctrl-x to start, Ctrl-c for a command prompt or Escapc to 
discard cdits and return to the menu. Pressing Tab lists 
possible completions. 


Permita inicar el sistema. Aparecerá un diálogo que solicitará la contrasena de root. 


.811135] pilx-1 smbus 0800:80:87.8: SMBus base address unini t ia 1 izcd upgr 
ndc BIOS or usc force.addr=0xaddr 

I 4.587786) intcl_rapl: no vrtlid rapl domains fciund in packagc H 
Uelcome to emergency mode! rtfter logging in, type "journalctl xb" to vieu 
systcm logs, "systemctl rcboot" to rcboot, "systcmctl dcfault" or A D to 
boot into default mode. 

Uivc root passuord for maintenance 
(or typc Control D to continuc): 



Tras ingresar la contrasena de root y pulsar ^ (ENTER) debe de aparecer un intérprete de mandatos. 


145 




Joel Barrios Duenas 


Configuración de Servidores con GNU/Linux 


3.811135] pllxl smbus 0888:88:07.8: SIIBus basc addrcss uninit la 1 lzed - upgr 
ndc BIOS or usc forcc_addr=8xaddr 

I 4.5H7786) intel_rapl: no valid rapl domains found in par.kage H 
Helcome to cmcrgcncy modct rtfter logging in, type "Journalctl xb" to oicu 
systcm logs. “systcmctl rcboot" to rcboot, "systcmctl dcfault" or 'D to 
hoot into default nxide. 

Sivc root passuord for maintenance 
(or typc Control-D to continuc): 

IrootHlocalhost "1* _ 



Desde este intérprete de mandatos puede realizar tareas administrativas y procedimientos de emergencia. 
Puede ejecutar lo siguiente para ir al nivel de ejecución predeterminado: 
systemctl default 


O bien reinicie el sistema ejecutando lo siguiente: 


systemctl reboot 
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14. Gestión de servicios. 
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14.1. Introducción. 

La gestión de servicios consiste en activar o desactivar servicios en los distintos niveles de ejecución del 
sistema y en iniciar, detener o activar éstos cuando las circunstancias lo requieran. Este documento describe 
los procedimientos correspondientes en CentOS, Fedora™, Red Hat™ Enterprise Linux, openSUSE™ y 
SUSE™ Linux Enterprise. 

14.2. Niveles de ejecución. 

GNU/Linux tiene 7 niveles de ejecución: 

• 0: Apaga el sistema. 

• 1 o S: Nivel mono-usuario. 

• 2: Multi-usuario, sin unidades de almacenamiento remoto o sin conexión de red. 

• 3: Multi-usuario, con unidades de almacenamiento remoto. 

• 4: Experimental. 

• 5: Multi-usuario con servidor de video. 

• 6: Reinicia sistema. 

Los servicios del sistema utilizan los niveles de ejecución 2, 3, 4 y 5. Los niveles de ejecución 0, 1 y 6 están 
reservados para los usos descritos arriba. 

Para verificar el nivel de ejecución predeterminado del sistema, puede consultarse el contenido del archivo 
/etc/inittab, ejecutando lo siguiente: 

cat /etc/inittab |grep initdefault |grep id 


Lo anterior debe devolver algo similar a lo siguiente: 
id:5:initdefault: 

Lo anterior indica que el nivel de ejecución predeterminado del sistema es el 5. Para cambiar el valor del nivel 
de ejecución predeterminado, sólo es necesario editar como root el archivo /etc/inittab: 

vim /etc/inittab 


Y reemplazar el número que esté establecido, por el de cualquier otro nivel de ejecución deseado, entre 1 y 5. 

iJamás se debe establecer 0 (apagar) o 6 (reiniciar)! 


147 





Joel Barrios Duenas 


Configuración de Servidores con GNU/Linux 


Para que surta efecto el cambio, se reinicia el sistema, el cual deberá utilizar, de modo predeterminado, el nivel 
de ejecución especificado en el archivo /etc/inittab, 

También es posible iniciar el sistema en cualquier nivel de ejecución distinto al definido en el archivo 
/etc/inittab, sin necesidad de modificar archivo alguno, anadiendo el número correspondiente como argumento 
de arranque del núcleo desde el gestor de arranque del sistema. 


I Miniml BeSH-likc líne cditing is supported. For thc f irst uord, Tfltí 
lists possiblc coamand conpletions. flnyuhere else TfiB lists the possible 
completions of a device/f■lename. ESC at any time cancels. EMTER 
at any time accepts your changes.l 

<l-auto quiet LtìMG-esES.UTF 8 rd_LUMLU=UoIGroup/luroot rdMUDM 3| 


Inicio en nivel de ejecución 3 desde el gestor de arranque de CentOS 6. 
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Inicio en nivel de ejecución 3 desde el gestor de arranque de openSUSE™ 11. 


Ejecute runlevel para verificar el nivel de ejecución actual: 
runlevel 

Cuando la salida devuelve la letra N mayúscula y un número, significa que el sistema inició en ese nivel de 
ejecución y que es inexistente un nivel de ejecución previo. En el siguiente ejemplo de salida, se indica que el 
sistema está en el nivel de ejecución 5, sin niveles de ejecución previos: 

N 5 


Cuando la salida de runlevel es de dos números, el primer número corresponde al nivel de ejecución previo y el 
segundo corresponde al nivel de ejecución actual. En el siguiente ejemplo, se indica que el sistema está en el 
nivel de ejecución 5 y que anteriormente se estaba en el nivel de ejecución 3: 


3 5 


Ejecute who con la opción -r para obtener un poco más de detalle: 


who -r 


En el siguiente ejemplo, la salida muestra que el nivel de ejecución es el 5 y que el último nivel de ejecución fue 
el 3. 


run-level 5 Jun 27 17:09 last=3 
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Ejecute init utilizando como argumento el número de nivel al que se desea cambiar para conmutar, lo cual se 
encargará de iniciar o terminar los servicios que sean necesarios. En el siguiente ejemplo se conmuta al nivel 
de ejecución 1: 


init 1 


En el siguiente ejemplo, se conmuta al nivel de ejecución 3: 


init 3 


En el siguiente ejemplo, se conmuta al nivel de ejecución 6, el cual reinicia el sistema: 


init 6 


En el siguiente ejemplo, se conmuta al nivel de ejecución 0 —el cual apaga el sistema: 


init 0 


Utilice telinit para conmutar el nivel de ejecución indicando a init cuánto esperará entre los envíos a los 
procesos de las senales SIGTERM y SIGKILL. De modo predeterminado son 5 segundos y con la opción -t se 
puede establecer un valor distinto en segundos. 

Cada uno de los niveles de ejecución dispone de un sub-directorio dentro del directorio /etc. En el caso de 
CentOS, Fedora™ y Red Hat™ Enterprise Linux, se utilizan los siguientes directorios: 

• /etc/rc.d/rcO.d 

• /etc/rc.d/rcl.d 

• /etc/rc.d/rc2.d 

• /etc/rc.d/rc3.d 

• /etc/rc.d/rc4.d 

• /etc/rc.d/rc5.d 

• /etc/rc.d/rc6.d 

En el caso de openSUSE™ y SUSE™ Linux Enteprise, también existen estas mismas rutas, pero son enlaces 
simbólicos de los siguientes directorios, pudiendo trabajarse con unos u otros de manera indistinta: 

• /etc/init.d/rcO.d 

• /etc/init.d/rcl.d 

• /etc/init.d/rc2.d 

• /etc/init.d/rc3.d 

• /etc/init.d/rc4.d 

• /etc/init.d/rc5.d 

• /etc/init.d/rc6.d 

Cada uno de estos directorios incluye enlaces simbólicos que apuntan hacia los guiones de arranque de los 
servicios, los cuales están dentro del directorio /etc/init.d/. Hay dos tipos de enlaces, los que inician el servicio 
y los que terminan el servicio. Ambos tipos de enlaces incluyen un número que determina la prioridad de inicio o 
de terminación de un servicio respecto de otros servicios en el sistema. 

Liste el contenido del directorio /etc/rc.d/rc3.d ejecutando lo siguiente: 


ls /etc/rc.d/rc3.d 
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El siguiente ejemplo es una muestra de lo que podría contener el directorio /etc/rc.d/rc3.d: 


K01avahi-dnsconfd 

K10saslauthd 

K10zvbid 

K15atd 

K30sendmail 

K30vboxweb-service 

K35nmb 

K35smb 

K36xrdp 

K50dnsmasq 

K50netconsole 

K50snmpd 

K50snmptrapd 

K60nfs 


K69rpcsvcgssd 

K72autofs 

K73slapd 

K73ypbind 

K74nscd 

K75ntpdate 

K80fcoe 

K8011dpad 

K83nfslock 

K83rpcgssd 

K83rpcidmapd 

K84wpa_supplicant 

K87multipathd 

K87restorecond 


S23NetworkManager 

S24avahi-daemon 

S24nslcd 

S25cups 

S25netfs 

S26haldaemon 

S50bluetooth 

S58ntpd 

S60vsftpd 

S90crond 

S95atd 

S99rc-local 


K87rpcbind 

K88iscsi 

K89iscsid 

K89rdisc 

K90network 

K92ip6tables 

K92iptables 

K95firstboot 

S021vm2-monitor 

Sllportreserve 

S12rsyslog 

S13cpuspeed 

SlSmdmonitor 

S22messagebus 


Un servicio que tenga un enlace simbólico denominado S80algo, significa que el servicio iniciará después de 
todos los demás servicios que tengan un número menor. Es decir, S80algo iniciará después de S70otro. 


Un servicio que tenga un enlace simbólico denominado K30algo, significa que el servicio terminará antes que 
todos los demás servicios que tengan un número mayor. Es decir, K30algo terminará primero que K40otro. 


Para que un servicio esté activo, debe tener un enlace simbólico denominado S[nnX] (donde S significa Start, 
nn es el número de prioridad, que puede ir de 00 a 99 y X el nombre del servicio) dentro de los directorios de 
los niveles de ejecución 2, 3, 4 y 5. Estos enlaces simbólicos se acompaiìan de un enlace K[nnX] en los niveles 
de ejecución 0, 1, 6 y aquellos donde el servicio esté desactivado, para poder terminar normalmente el servicio 
involucrado. 


Para que un servicio esté inactivo, debe tener un enlace simbólico denominado K[nnX] (donde K significa Kill, 
nn es el número de prioridad, que puede ir de 00 a 99 y X el nombre del servicio) dentro de los directorios de 
los niveles de ejecución 2, 3, 4 y 5 y deben estar ausentes los enlaces denominados S[nnX]. 


Todas las distribuciones de GNU/Linux funcionan de este modo. 


La ausencia de los enlaces simbólicos de inicio, aquellos cuyo nombre inicia con S mayúscula, en alguno de los 
directorios que corresponden a los niveles de ejecución, significa que dicho servicio está inhabilitado en ese 
nivel de ejecución. La presencia de un enlace simbólico de terminación, aquellos cuyo nombre inicia con K 
mayúscula, en cualquiera de niveles de ejecución (generalmente, al menos 0, 1 y 6), significa que el servicio 
está desactivado. Por ejemplo, si se tiene el servicio sshd y éste tiene los siguientes enlaces: 


/etc/rc.d/rc0. d/K25sshd 
/etc/rc.d/rcl. d/K25sshd 
/etc/rc.d/rc2. d/S55sshd 
/etc/rc.d/rc3. d/S55sshd 
/etc/rc.d/rc4. d/S55sshd 
/etc/rc.d/rc5. d/S55sshd 
/etc/rc.d/rc6. d/K25sshd 


Lo anterior significaría que el servicio sshd está habilitado en los niveles de ejecución 2, 3, 4 y 5 y que se 
termina al conmutar a los niveles de ejecución 0, 1 y 6. 


Si se tuviera el siguiente escenario: 


/etc/rc.d/rc0. d/K25sshd 
/etc/rc.d/rcl. d/K25sshd 
/etc/rc.d/rc2. d/K25sshd 
/etc/rc.d/rc3. d/S55sshd 
/etc/rc.d/rc4. d/K25sshd 
/etc/rc.d/rc5. d/S55sshd 
/etc/rc.d/rc6. d/K25sshd 
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Lo anterior significaría que el servicio sshd sólo estaría activo en los niveles de ejecución 3 y 5. Si se conmuta 
a cualquier otro nivel (0, 1, 2, 4 o 6), el servicio es detenido por el sistema. Si por ejemplo se estuviese 
trabajando en el nivel de ejecución 5 y se conmuta al nivel de ejecución 3, el servicio seguiría funcionando sin 
ser afectado. Si en cambio se está en el nivel de ejecución 5 y se conmuta al nivel de ejecución 2, donde hay 
un enlace de terminación de servicio, el servicio es detenido. 


Si se tuviera el siguiente escenario: 


/etc/rc.d/rc0. d/K25sshd 
/etc/rc.d/rcl. d/K25sshd 
/etc/rc.d/rc2. d/S55sshd 
/etc/rc.d/rc3. d/K25sshd 
/etc/rc.d/rc3. d/S55sshd 
/etc/rc.d/rc4. d/K25sshd 
/etc/rc.d/rc5. d/K25sshd 
/etc/rc.d/rc5. d/S55sshd 
/etc/rc.d/rc6. d/K25sshd 


Lo anterior significaría que el servicio sshd sería reiniciado si se conmuta hacia los niveles 3 o 5, pues existen 
tanto los enlaces de inicio como los de terminación en los directorios de los niveles de ejecución 3 y 5. 
Conmutar hacia cualquier otro nivel de ejecución detendría el servicio. 


Si se tuviera el siguiente escenario: 


/etc/rc.d/rc0. d/K25sshd 
/etc/rc.d/rcl. d/K25sshd 
/etc/rc.d/rc2. d/S55sshd 
/etc/rc.d/rc3. d/K25sshd 
/etc/rc.d/rc3. d/S55sshd 
/etc/rc.d/rc4. d/K25sshd 
/etc/rc.d/rc5. d/S55sshd 
/etc/rc.d/rc6. d/K25sshd 


Conmutar desde el nivel de ejecución 5 hacia el nivel de ejecución 3 reiniciaría el servicio. Conmutar desde el 
nivel de ejecución 3 hacia el nivel de ejecución 5, tendría nulo efecto sobre el servicio, a menos que el servicio 
sshd hubiese sido detenido previamente, en cuyo caso hubiese sido iniciado. 

Cada archivo de inicio de servicio, que se encuentran dentro del directorio /etc/init.d/, incluye como mínimo la 
siguiente información, comentada con almohadillas: 


#Interprete de mandatos utilizado 

# 

#nombre del servicio Descripción breve del servicio 

# 

#chkconfig: niveles de ejecución en los que estás activo el servicio y 

# los números de prioridad de inicio y terminación, respectivamente, 

# con los que serán creados los enlaces simbólicos en cada nivel 

# de ejecución. 

# 

#description: Descripción detallada del servicio. 

### BEGIN INIT INFO 

# Provides: componentes que son provistos por el servicio 

# Required-Start: requisitos para iniciar el servicio 

# Required-Stop: requisitos para detener el servicio 

# Default-Start: niveles de ejecución en los que está activo el servicio 

# Default-Stop: niveles de ejecución en los que está inhabilitado el servicio. 

# Description: Descripción detallada del servicio. 

### END INIT INFO 


El siguiente ejemplo muestra la información del archivo de inicio del servicio sshd: 
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#!/bin/sh 

# 

# sshd Start up the OpenSSH server daemon. 

# 

# chkconfig: 2345 55 25 

# description: SSH is a protocol for secure remote shell access. 

# This service starts up the OpenSSH server daemon. 

### BEGIN INIT INFO 

# Provides: sshd 

# Required-Start: $local_fs $network $syslog 

# Required-Stop: $local_fs $syslog 

# Should-Start: $syslog 

# Should-Stop: $network $syslog 

# Default-Start: 2345 

# Default-Stop: 016 

# Short-Description: Start up the OpenSSH server daemon 

# Description: SSH is a protocol for secure remote shell access. 

# This service starts up the OpenSSH server daemon. 
### END INIT INFO 


Lo anterior establece que el servicio estará activo en los niveles de ejecución 2, 3, 4 y 5, el número de prioridad 
de inicio es 55, lo que significa que el servicio iniciará después de cualquier otro servicio con un número menor 
y que el número de prioridad de terminación es 25, lo que significa que el servicio será detenido antes que 
cualquier otro servicio con un número mayor. 

14.3. Activar, desactivar, iniciar, detener o reiniciar servicios. 

14.3.1. En CentOS, Fedora™ y Red Hat™ Enterprise Linux 

En estos sistemas operativos la gestión de servicios se hace a través de dos herramientas: chkconfig y 
service. Ambas utilizan como argumentos los nombres de los archivos de inicio de los servicios, los cuales se 
localizan dentro del directorio /etc/init.d. Ambos también están presentes en openSUSE™ y SUSE™ Linux 
Enterprise. 

Excepto por los servicios básicos para el funcionamiento del sistema, la mayoría de los servicios están 
desactivados y detenidos en todos los niveles de ejecución. 

14.3.1.1. Uso de chkconfig. 

Ejecute chkconfig con la opción -del para eliminar un servicio del sistema, es decir eliminar los enlaces 
simbólicos dentro de los sub-directorios del directorio /etc/rc.d, de acuerdo a la información definida en el 
archivo correspondiente dentro del directorio /etc/init.d/. En el siguiente ejemplo se elimina el servicio sshd: 

chkconfig --del sshd 


Ejecute chkconfig con la opción -add para anadir un nuevo servicio al sistema, es decir crear los enlaces 
simbólicos de acuerdo a la información definida en el archivo correspondiente dentro del directorio /etc/init.d/. 
En el siguiente ejemplo se afiade el servicio sshd: 

chkconfig --add sshd 


Lo anterior por lo general se ejecuta automáticamente junto con la instalación de los paquetes RPM 
correspondientes para cada servicio. Sólo es necesario ejecutarlo cuando se instalan servicios que fueron 
compilados a partir de paquetes de código fuente o bien casos donde las instrucciones de instalación 
explícitamente solicitan hacerlo. 

Ejecute chkconfig con el nombre del servicio y on como argumentos para activar un servicio que ha sido 
previamente anadido al sistema. En el siguiente ejemplo se activa el servicio atd: 
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chkconfig atd on 


Para desactivar un servicio ejecute chkconfig con el nombre del servicio y off como argumentos. En el 
siguiente ejemplo se desactiva el servicio atd: 


chkconfig atd off 


Para verificar en qué niveles de ejecución están activos o inactivos todos los servicios del sistema, ejecute 

chkconfig con la opción — list: 


chkconfig --list 


Ejecute chkconfig con la opción -list y el nombre de algún servicio para verificar en qué niveles de ejecución 
está activo éste. En el siguiente ejemplo se consulta en qué niveles de ejecución está activo el servicio cups: 


chkconfig --list cups 


Ejecute chkconfig con la opción -level, el nivel o los niveles de ejecución donde estará activo el servicio, el 
nombre del servicio y la cadena on para activar un servicio en uno o más niveles de ejecución en particular. En 
el siguiente ejemplo se activa el servicio vsftpd sólo en los niveles de ejecución 3 y 5: 


chkconfig --level 35 vsftpd on 


Ejecute chkconfig con la opción -level, el o los niveles de ejecución donde estará inactivo el servicio, el 
nombre del servicio y la cadena off para desactivar un servicio en uno o más niveles de ejecución en particular. 
En el siguiente ejemplo se desactiva el servicio cups sólo en los niveles de ejecución 2 y 4: 


chkconfig --level 24 cups off 


Ejecute chkconfig con el nombre del servicio y reset como argumentos para regresar los servicios a sus 
valores predeterminados. En el siguiente ejemplo, se regresa a sus valores originales correspondientes al 
servicio cups: 


chkconfig cups reset 


Ejecute chkconfig con el nombre del servicio y resetpriorities como argumentos si las prioridades de inicio o 
terminación de servicios fueron modificados —es decir, se cambio el número de los nombres de los enlaces 
simbólicos de /etc/rc.d/rc*.d — y se desea dejar todo como estaba. En el siguiente ejemplo, se regresa a los 
valores originales de sus prioridades al servicio cups: 


chkconfig cups resetpriorities 


Si se quiere utilizar una herramienta muy sencilla y que es específica de CentOS, Fedora™ y Red Hat™ 
Enterprise Linux, puede utilizar ntsysv, programa que permite anadir o eliminar servicios del nivel de ejecución 
actual con una interfaz para modo terminal. 
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Herramienta ntsysv. 

Ejecute ntsysv con la opción -level y especificando el nivel o niveles de ejecución deseados si necesita 
cambiar los servicios de un nivel de ejecución en particular o varios niveles simultáneos. En el siguiente ejemplo 
se ejecuta ntsysv con la opción -level y 3 como argumento para poder cambiar específicamente los servicios 
del nivel de ejecución 3: 

ntsysv --level 3 


En el siguiente ejemplo se ejecuta ntsysv con la opción -level y 235 como argumento para poder cambiar 
específicamente los servicios de los niveles de ejecución 2, 3 y 5: 

ntsysv --level 235 


14.3.1.2. Uso de service. 

Ejecute service con el nombre del servicio y start como argumentos para iniciar cualquier servicio. En el 
siguiente ejemplo se inicia el servicio atd: 

service atd start 


Lo anterior equivale a ejecutar: 

/etc/init.d/atd start 


Ejecute service con el nombre del servicio y stop como argumentos para detener cualquier servicio. En el 
siguiente ejemplo se detiene el servicio atd: 

service atd stop 

Lo anterior equivale a ejecutar: 

/etc/init.d/atd stop 
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Ejecute service con el nombre del servicio y restart como argumentos para reiniciar cualquier servicio. En el 
siguiente ejemplo se reinicia el servicio atd: 

service atd restart 

Lo anterior equivale a ejecutar: 

/etc/init.d/atd restart 

Ejecute service con el nombre del servicio y status como argumentos para verificar el estado de cualquier 
servicio. En el siguiente ejemplo verifica el estado del servicio atd: 

service atd status 

Lo anterior equivale a ejecutar: 

/etc/init.d/atd status 

La herramienta system-config-services funciona como frente gráfico para chkconfig y service. 
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Herramienta system-config-services. 

14.3.2. En openSUSE™ y SUSE™ Linux Enterprise 

La gestión de servicios en openSUSE™ y SUSE™ Linux Enterprise se puede realizar también a través de 
chkconfig y service, pero se prefiere utilizar las herramientas nativas insserv y los guiones rc[X] que se 
instalan con cada servicio. 

14.3.2.1. Uso de insserv. 

Para activar un servicio se ejecuta insserv con el nombre del servicio como argumento. En el siguiente ejemplo 
se activa el servicio sshd: 


insserv sshd 
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Lo anterior equivale a ejecutar: 

chkconfig sshd on 

Para desactivar un servicio se ejecuta insserv con la opción -r y el nombre del servicio como argumento. En el 
siguiente ejemplo se desactiva el servicio sshd: 

insserv -r sshd 

Lo anterior equivale a ejecutar: 

chkconfig sshd off 

Todos los procedimientos realizados por insserv pueden ser gestionados también a través del módulo runlevel 
de YaST en modo simple, ejecutando lo siguiente: 

yast runlevel 


N SUSE Unux Enterprise Desktop 


YaST G li 


-32s3 


Pulse F1 para obtener Aguda 


Aquí puede especificar 

qué servicios del sistena 
han de ser iniciados. 

Atención: el editor de 
niueles de ejecución es 
una herranienta para 
expertos. Canbie la 
configuración sólo si 
sabe lo que está 
haciendo. De no ser así, 
el sistena podría dejar 
de funcionar 
adecuadanente. 

íìctiuar inicia el 
seruicio seleccionado 
junto con los seruicios 
de los que depende y les 
pernite iniciarse al 
arrancar el sistena. De 
la nisna forna, 

Desactiuar detiene los 
seruicios que dependen de 
un seruicio deterninado 
así cono dicho seruicio 
para que no se inicien a 
arrancar el sistena. 


Seruicios del sistena (niueles de ejecución): seruicios 
(x) Modo sinple ( ) Modo experto 


Seruicio |Acti 

SuSEfireual12_setup Sí 

aaeuentd No* 

acpid Sí 

alsasound Sí 

atd Mo 

auditd Sí 

autofs Sí* 

autoyast No* 

auahi-daenon No 

auahi-dnsconfd No 

bluetooth No 

cron Sí 

cups Sí 

cupsrenice Sí 

dbus Sí 

earlygdn Sí 

earlykbd Sí 

earlysyslog Sí 


uado|Descripción j 

SuSEf ireuall2 pliase 2 

AppArnor Notification and Report 
Listen and dispatch ACPI euents -*■ 
Loading ALSA driuers and store/r 
Start AT batch job daenon 
auA|td daenon prouiding core aud 
Start the autofs daenon for auto 
• A. s^art script to execute autoya 
fìuahi, a ZeroConf daenon for nDN 
fìuahi, a ZeroConf daenon for nDN 
Bluetooth protocol stack seruice 
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Start CUPS printer daenon 
renice cupsd after the kde is ru 
D-BUS is a nessage bus systen fo 
Quick X Display Manager 
Reyboard settings (don't disable 
Start the systen logging daenons 



Módulo runlevel de YaST, en modo simple. 

14.3.2.2. Iniciar, detener o reiniciar servicios. 
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Para iniciar un servicio en particular, los paquetes en openSUSE™ y SUSE™ Linux Enterprise instalan archivos 
con el nombre del servicio, antecedidos por la cadena rc. Por ejemplo, el paquete responsable del servicio cups 
instala un enlace simbólico denominado /usr/sbin/rccups que apunta hacia el archivo /etc/init.d/cups; el 
paquete responsable del servicio sshd instala un enlace simbólico denominado /usr/sbin/rcsshd que apunta 
hacia el archivo /etc/init.d/sshd, etc. Todos éstos son siempre enlaces simbólicos que apuntan hacia los 
archivos de inicio de los servicios que están en el directorio /etc/init.d, por lo que funcionan de modo similar a 
como se hace con service y son el método preferido en openSUSE™ y SUSE™ Linux Enterprise para iniciar, 
detener o reiniciar los servicios. 

Ejecute el guión rc[X] correspondiente con start como argumento para iniciar un servicio . En el siguiente 
ejemplo se inicia el servicio sshd: 


rcsshd start 


Lo anterior equivale a ejecutar: 


/etc/init.d/sshd start 


O bien a ejecutar: 

service sshd start 

Ejecute el guión rc[X] correspondiente con stop como argumento para detener un servicio. En el siguiente 
ejemplo se detiene el servicio sshd: 

rcsshd stop 


Lo anterior equivale a ejecutar: 


/etc/init.d/sshd stop 


O bien a ejecutar: 

service sshd stop 

Ejecute el guión rc[X] correspondiente con restart como argumento para reiniciar un servicio. En el siguiente 
ejemplo se reinicia el servicio sshd: 

rcsshd restart 

Lo anterior equivale a ejecutar: 

/etc/init.d/sshd restart 
O bien a ejecutar: 

service sshd restart 

Ejecute el guión rc[X] correspondiente con status como argumento ara verificar el estado de un servicio. En el 
siguiente ejemplo se verifica el estado del servicio sshd: 
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rcsshd status 

Lo anterior equivale a ejecutar: 

/etc/init.d/sshd status 

O bien a ejecutar: 

service sshd status 

Ejecute yast con runlevel como argumento para gestionar —en modo experto— todo lo que se pueda 
gestionar con insserv y los guiones rc[X]: 

yast runlevel 

Y luego cambiando del modo simple al modo experto, seleccionado la casilla correspondiente. 
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Módulo runlevel de YaST en modo experto. 
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15.1. Introducción. 

Systemd es un nuevo sistema para la administración de dispositivos, eventos y servicios en GNU/Linux creado 
por Lennart Poettering. Es el reemplazo para sysvinit, upstart y udev en la mayoría de las distribuciones 
modernas. Se utiliza en CentOS 7, Red Hat™ Enterprise Linux 7 y versiones recientes de prácticamente 
todas las distribuciones de GNU/Linux, incluyendo Debian, Ubuntu™ y Fedora™. 

A pesar de tratarse de tecnología de vanguardia, es compatible con los métodos utilizados en el pasado en 
SysV y LSB y las mejoras respecto de éstos incluyen capacidades de activación de zócalos y buses que 
permiten una mejor ejecución en paralelo de servicios independientes y el uso de cgroups para realizar el 
seguimiento de los procesos del servicio en lugar de utilizar PIDs. Ésto último impide que los servicios puedan 
evadir la administración de systemd. 

15.2. Procedimientos. 

15.2.1. Niveles de ejecución. 

Los niveles de ejecución utilizados en SysV siguen siendo los mismos. Sin embargo en SystemD se 
administran como objetivos o targets. La siguiente tabla muestra los niveles de ejecución de SysV y su 
equivalente en SystemD: 


SysV 

SystemD 

Uso 

0: 

runlevelO.target o poweroff.target 

Apaga el sistema 

1 o S: 

runlevell.target o rescue.target 

Nivel mono-usuario 

2 


runlevel2.target o multi-user.target 

Multi-usuario. Idéntico al nivel 3 

3 


runlevel3.target o multi-user.target 

Multi-usuario 

4 


runlevel4.target o multi-user.target 

Multi-usuario. Idéntico al nivel 3 

5 


runlevel5.target o graphical.target 

Multi-usuario con servidor de video 

6 


runlevel6.target o reboot.target 

Reiniciasistema 

emergency 

emergency.target 

Intérprete de mandatos de emergencia. 


15.2.2. Determinar el nivel de ejecución actual. 

Si antes ejecutaba runlevel o who con la opción -r para determinar el nivel de ejecución actual. Éstos siguen 
funcionado exactamente igual, sin embargo se prefiere se utilice en su lugar lo siguiente: 

systemctl list-units --type=target 
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La salida será similar a la siguiente: 


UNIT 

basic.target 
cryptsetup.target 
getty.target 
local-fs-pre.target 
local-fs.target 
multi-user.target 
network.target 
nss-lookup.target 
paths.target 
remote-fs.target 
slices.target 
sockets.target 
swap.target 
sysinit.target 
timers.target 


LOAD ACTIVE SUB 
loaded active active 
loaded active active 
loaded active active 
loaded active active 
loaded active active 
loaded active active 
loaded active active 
loaded active active 
loaded active active 
loaded active active 
loaded active active 
loaded active active 
loaded active active 
loaded active active 
loaded active active 


DESCRIPTION 
Basic System 
Encrypted Volumes 
Login Prompts 
Local File Systems (Pre) 

Local File Systems 
Multi-User System 
Network 

Host and Network Name Lookups 
Paths 

Remote File Systems 

Slices 

Sockets 

Swap 

System Initialization 
Timers 


LOAD = Reflects whether the unit definition was properly loaded. 

ACTIVE = The high-level unit activation state, i.e. generalization of SUB. 
SUB = The low-level unit activation state, values depend on unit type. 


15 loaded units listed. Pass --all to see loaded but inactive units, too. 
To show all installed unit files use 'systemctl list-unit-files'. 


Lo anterior muestra que el sistema está en nivel de ejecución multi-user.target, es decir probablemente en 
nivel de ejecución 3. Recuerde de los niveles de ejecución 2, 3 y 4 apuntan indistintamente hacia multi- 
user.target. 

15.2.3. Conmutar el nivel de ejecución. 

Para conmutar al nivel de ejecución 3 en SysV antes se utilizaba lo siguiente: 

init 3 

Lo anterior sigue funcionando en SystemD, pero ahora se recomienda utilizar: 

systemctl isolate multi-user.target 

O bien: 

systemctl isolate runlevel3.target 

Para conmutar al nivel de ejecución 5 en SysV antes se utilizaba lo siguiente: 

init 5 

Lo anterior sigue funcionando en SystemD, pero ahora se recomienda utilizar: 

systemctl isolate graphical.target 

O bien: 

systemctl isolate runlevel5.target 
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15.2.4. Cambiar el nivel de ejecución predeterminado del sistema. 

Con SysV antes editaba el archivo /etc/inittab y establecía id:3:initdefault: para definir el nivel de ejecución 3. 
Con SystemD sólo se debe ejecutar lo siguiente: 

ln -sf /lib/systemd/system/multi-user.target \ 

/etc/systemd/system/default.target 

Con SysV antes editaba el archivo /etc/inittab y establecía id:5:initdefault: para definir el nivel de ejecución 5. 
Con SystemD sólo se debe ejecutar lo siguiente: 


ln -sf /lib/systemd/system/graphical.target \ 
/etc/systemd/system/default.target 


15.2.5. Gestión de servicios con SystemD. 

SysV utilizaba los directorios /etc/rc*.d debajo de los cuales se creaban enlaces simbólicos y determinaba qué 
servicios estaban habilitados en los distintos niveles de ejecución. SystemD utiliza en su lugar varios directorios 
debajo de /etc/systemd/system para los distintos niveles de ejecución. En el caso del nivel multiusuario, se 
puede examinar el contenido de /etc/systemd/system/multi-user.target.wants para determinar los servicios que 
están habilitados en éste. 


IrootPlocA lliost 1S 
fiud i td . service 
trrond . service 
i rqbal«nce . servicc 
l root@I oca 1host ]í 




ls /etc/systenid/systeM/mu 11 i -user. target. uants/ 
Nrtworkhanagcr.service rsyslog.service 
postfix,service sshd.service 

reMotC'fs.target tuncd.service 


Salvo por los servicios network y netconsole, todos los demás servicios antes utilizaban archivos dentro de 
/etc/init.d. Éstos han dejado de existir y han sido reemplazados por archivos para SystemD dentro de 
/usr/lib/systemd/system. 

15.2.5.1. Listado, activación y desactivación de servicios. 

En SysV antes se utilizaba lo siguiente para mostrar la lista de todos los servicios: 


chkconfig --list 


Con SystemD se ejecuta lo siguiente: 
systemctl list-unit-files 
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En SysV antes se utilizaba lo siguiente para mostrar la lista de servicios activos en el nivel de ejecución 5: 

chkconfig --list |grep "5:activo" 

Con SystemD se ejecuta lo siguiente: 
systemctl list-units 

En SysV antes se utilizaba lo siguiente para verificar en qué niveles de ejecución estaba activo un servicio — 
como httpd: 

chkconfig --list httpd 
Con SystemD se ejecuta lo siguiente: 

systemctl is-enabled httpd 

En SysV antes se utilizaba lo siguiente para habilitar un servicio: 

chkconfig httpd on 
Con SystemD se ejecuta lo siguiente: 
systemctl enable httpd 

En SysV antes se utilizaba lo siguiente para deshabilitar un servicio: 
chkconfig httpd off 

Lo anterior sigue funcionando por motivos de compatibilidad, pero se recomienda ejecutar en su lugar lo 
siguiente: 

systemctl disable httpd 

15.2.5.2. Detener, iniciar, reiniciar o consultar estado de servicios. 

En SysV antes se utilizaba lo siguiente para iniciar un servicio: 
service httpd start 

El mandato service sigue funcionando por motivos de compatibilidad, pero se recomienda ejecutar en su lugar 
lo siguiente: 

systemctl start httpd 

En SysV antes se utilizaba lo siguiente para reiniciar un servicio: 
service httpd restart 
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El mandato service sigue funcionando por motivos de compatibilidad, pero se recomienda ejecutar en su lugar 
lo siguiente: 

systemctl restart httpd 

En SysV antes se utilizaba lo siguiente para detener un servicio: 
service httpd stop 

El mandato service sigue funcionando por motivos de compatibilidad, pero se recomienda ejecutar en su lugar 
lo siguiente: 

systemctl stop httpd 

En SysV antes se utilizaba lo siguiente para hacer que un servicio volviese a leer su configuración: 
service httpd reload 

El mandato service sigue funcionando por motivos de compatibilidad, pero se recomienda ejecutar en su lugar 
lo siguiente: 

systemctl reload httpd 

En SysV antes se utilizaba lo siguiente para consultar el estado de un servicio: 
service httpd status 

El mandato service sigue funcionando por motivos de compatibilidad, pero se recomienda ejecutar en su lugar 
lo siguiente: 

systemctl status httpd 
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16.1. Introducción. 

16.1.1. cQué es y como funciona el espacio de intercambio? 

El espacio de memoria de intercambio o Swap es lo que se conoce como memoria virtual. La diferencia entre 
la memoria real y la virtual es que está última utiliza espacio en la unidad de almacenamiento en lugar de un 
módulo de memoria. Cuando la memoria real se agota, el sistema copia parte del contenido de esta 
directamente en este espacio de memoria de intercambio a fin de poder realizar otras tareas. 

Utilizar memoria virtual tiene como ventaja el proporcionar la memoria adicional necesaria cuando la memoria 
real se ha agotado y se tiene que continuar un proceso. Como consecuencia de utilizar espacio en la unidad de 
almacenamiento como memoria es que es considerablemente más lenta. 

<i,Cuánto espacio para memoria de intercambio se debe asignar al sistema? 

Menos de 1 GB RAM Doble de la cantidad total de memoria RAM. 

Más de 1 GB RAM Misma cantidad del total de memoria RAM, más 2 GB. 

Independientemente de la cantidad de memoria RAM disponible, el sistema podrá trabajar normalmente con de 
4 a 8 GB de memoria de intercambio, salvo que una aplicación o programa en particular lo requiera. Los 
programas de instalación de la mayoría de las distribuciones asignan hasta 4 GB si se realiza una instalación 
predeterminada sin personalizar aún en sistemas con mucha memoria RAM. 

16.1.2. ^Cuándo se requiere aumentar la cantidad de memoria de intercambio? 

Considere incrementar la cantidad de memoria de intercambio en los siguientes casos: 

• Sistemas en donde adquirir memoria adicional es imposible, y se está consciente que la 
memoria de intercambio es muchísimo más lenta que la memoria RAM. 

• En equipos con trabajo intensivo que consume mucha memoria (diseno gráfico, por ejemplo). 

• Servidores de alto desempeno en donde se desea contar con un amplio margen de espacio de 
intercambio para satisfacer las demandas de servicios. 

• Sistemas que actualizaron desde una versión de núcleo 2.2, a una versión de núcleo 2.4 o 2.6. 

• Sistemas donde se aumentó la cantidad de memoria RAM y se encuentran con la problemática 
de cubrir la cuota mínima de espacio de memoria de intercambio. 

Procedimientos para aumentar la cantidad de memoria de intercambio. 

16.1.3. Cambiar el tamano de la partición. 
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Cambiar el tamano de las particiones es un método efectivo si hay espacio disponible sin particionar. Sin 
embargo, representa un riesgo debido a la posibilidad de errores durante el proceso que podría tener como 
consecuencia la pérdida de datos. Este método requiere disponer de un respaldo de todos los datos 
importantes antes de comenzar. 

Puede utilizar parted o gparted desde un disco vivo. 

La mejor solución para un sistema que se está quedando sin memoria disponible siempre será adquirir más 
RAM. 

16.1.4. Activar una partición de intercambio adicional. 

La sintaxis para dar formato a una partición como memoria de intercambio es mkswap con la opción -f para 
forzar el procedimiento de formato, la opción -c para buscar, marcar y evitar sectores danados y el nombre del 
dispositivo como argumento: 


mkswap -f -c [dispositivo] 


Asumiendo que dispone de una partición sin utilizar denominada /dev/sdbl2, lo siguiente dará formato como 
memoria de intercambio a la partición /dev/sdbl2, forzando el procedimiento y verificando sectores en busca 
de bloques danados: 


mkswap -f -c /dev/sdb!2 


Lo anterior puede devolver una salida similar a la siguiente: 


Setting up swapspace version 1, size=1048576 bytes 
no label, UUID=d2fea5ab-c677-8047-789a-e54ael9c506b 


Para activar la partición y que sea utilizada inmediatamente por el sistema operativo, se ejecuta swapon con el 
nombre de la partición como argumento: 

swapon [dispositivo] 

En el siguiente ejemplo se activa como partición de memoria de intercambio a la partición /dev/sdbl2: 
swapon /dev/sdbl2 


Ejecute free para corroborar que nuevo archivo de memoria de intercambio está siendo utilizada por el sistema 
operativo. La salida puede ser similar a la siguiente: 



total 

used 

f ree 

shared 

buffers 

cached 

Mem: 

321364 

312576 

8788 

0 

940 

63428 

-/+ 

buffers/cache: 

248208 

73156 




Swap 

1426416 

0 

1426416 





Para que esta partición se utilice como memoria de intercambio automáticamente en el siguiente arranque del 
sistema, se edita el archivo /etc/fstab: 


vim /etc/fstab 


La línea que se deba agregar lleva el siguiente formato: 
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[partición] swap swap defaults 0 0 

En el siguiente ejemplo se definirá como partición de memoria de intercambio a la partición /dev/sdbl2: 
/dev/sdbl2 swap swap defaults 0 0 

16.1.5. Asignar más espacio a un volumen lógico. 

Por lo general un buen administrador siempre dejará espacio sin utilizar en un grupo de volumen. Una ventaja 
de utilizar volúmenes lógicos consiste en que se pueden agrandar con el sistema en funcionamiento y prescindir 
de realizar el proceso desde un disco vivo. El siguiente escenario asume que así es y que el volumen lógico 
utilizado como memoria de intercambio corresponde a /dev/mapper/lv_swap. 

Desactive la partición de memoria de de intercambio: 

swapoff /dev/mapper/lv_swap 

Ejecute Ivextend con la opción -I usando como argumentos +100%FREE y el nombre del dispositivo del 
volumen lógico para hacer que este volumen crezca utilizando el 100% de las extensiones sin utilizar en el 
grupo de volumen. 

lvextend -1 +100%FREE /dev/mapper/lv_swap 
Active de nuevo la partición de memoria de de intercambio: 
swapoff /dev/mapper/lv_swap 

16.1.6. Utilizar un archivo como memoria de intercambio. 

Este método es idóneo para usuarios poco experimentados. El archivo de memoria de intercambio puede estar 
en cualquier ruta del sistema de archivos. 

Ejecute dd con if=/dev/zero, of=/swap) y bs=1024 y count=512000. Para crear un archivo con ceros, 
denominado /swap y 524288000 bytes (512 MiB): 

dd if=/dev/zero of=/swap bs=1024 count=512000 

La salida será similar a la siguiente: 

512000+0 registros leídos 
512000+0 registros escritos 

524288000 bytes (524 MB) copiados, 6.99465 S, 75.0 MB/s 

Ejecute mkswap con la opción -f para forzar el procedimiento de formato, la opción -c la verificación de 
sectores y /swap como argumento para dar formato a este mismo archivo: 

mkswap -f -c /swap 
La salida será similar a la siguiente: 
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Setting up swapspace version 1, size = 511996 KiB 
no label, UUID=fed2aba5-77c6-4780-9a78-4ae5el9c506b 


Para activar la partición y que sea utilizada inmediatamente por el sistema operativo, se ejecuta svvapon. En el 
siguiente ejemplo se activa como partición de memoria de intercambio a el archivo /svvap: 


swapon /swap 


Ejecute free para corroborar que que hay 512 MiB adicionales de memoria de intercambio. La salida puede ser 
similar a la siguiente: 



total 

used 

f ree 

shared 

buffers 

cached 

Mem: 

321364 

312576 

8788 

0 

940 

63428 

-/+ 

buffers/cache: 

248208 

73156 




Swap 

3145724 

0 

3145724 





O bien ejecute svvapon con la opción -s: 


swapon -s 


Lo anterior debe devolver una salida similar a la siguiente: 


Filename 

iype 

Size 

Used 

Priority 

/dev/dm-2 

partition 

6336508 

44 

-1 

/swap 

file 511996 

0 

20 



Para hacer el sistema utilice permanentemente este archivo como memoria de intercambio, edite el archivo 

/etc/fstab: 


vim /etc/fstab 


Anada el siguiente contenido: 


/swap swap swap defaults 0 0 


16.2. Optimización del uso de memoria de intercambio. 

16.2.1. Opción vm.swappiness. 

El núcleo de Linux permite cambiar con que frecuencia las aplicaciones y programas son movidas de la 
memoria física hacia la memoria de intercambio a través de un valor que define el peso relativo de uso de está 
última. Ésto se controla a través del parámetro vm.svvappiness. El valor predeterminado de éste es 60. Un 
valor 0 desactiva por completo el uso de memoria de intercambio. Un valor 100 haría que el sistema utilice 
memoria de intercambio de manera agresiva. 


Ejecute lo siguiente para corroborar el valor predeterminado: 


cat /proc/sys/vm/swappiness 


O bien ejecute lo siguiente: 
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sysctl vm.swappiness 


El valor predeterminado fue establecido por los desarrolladores del núcleo de Linux con la finalidad de permitir 
realizar pruebas y diagnósticos. Es un valor muy elevado para la mayoría de los usos que se le puede dar al 
sistema operativo. Conviene cambiar este valor por uno más bajo a fin de que el sistema utilice menos la 
memoria de intercambio y se prefiera reclamar en cambio la memoria cache. Ésta es una clase de memoria 
RAM estática de acceso aleatorio (SRAM o Static Random Access Memory). Se sitúa entre la Unidad Central 
de Procesamiento (CPU) y la memoria RAM y se presenta de forma temporal y automática para el usuario 
proporcionado acceso rápido a los datos de uso más frecuente. 

En sistemas de escritorio escritorios se recomienda utilizar un valor entre 10 y 20. Un valor entre 20 y 60 puede 
mejorar el rendimiento de servidores en general. 

En el siguiente ejemplo se aplica el valor 10 para el archivo /proc/sys/vm/swappiness. 


echo 10 > /proc/sys/vm/swappiness 


Ejecute sysctl con la opción -w y vm.swappiness=10 como argumento parea hacer lo mismo: 


sysctl -w vm.swappiness=10 


Lo anterior devuelve una salida similar a la siguiente y que confirma se ha aplicado el cambio: 


vm.swappiness = 10 


Este cambio en las variables del sistema de forma aplica inmediata hasta el siguiente reinicio del sistema. Para 
hacer que el cambio sea permanente edite el archivo /etc/sysctl.conf. 

vi /etc/sysctl.conf 

Anada la siguiente línea al final del archivo: 
vm.swappiness = 10 


Lo anterior se puede complementar a través de la opción vm.vfs_cache_pressure, la cual permitirá liberar 
parte de la memoria cache. Ésta controla la tendencia con la que el núcleo reclama la memoria utilizada para el 
cache de directorios e inodos de objetos. Su valor predeterminado es 100 y especifica se intente reclamar las 
estradas de directorios (dentries) e inodos a una tasa más o menos justa con respecto del reclamo de 
paginación de memoria cache y la paginación de memoria de intercambio. Disminuir el valor ocasiona que el 
núcleo prefiera retener las entradas de directorios e inodos en el cache. Incrementar el valor ocasiona que el 
núcleo prefiera reclamar la memoria utilizada por las entradas de directorios e inodos. 

• Aumentar el valor puede mejorar algunos escenarios donde se hace poco uso del sistema de 
archivos como el caso de escritorios. Puede empeorar el desempeno de escenarios donde se 
utiliza activamente el sistema de archivos —generalmente servidores— pero habrá más memoria 
libre disponible y una menor probabilidad de utilizar la lenta memoria de intercambio. 

• Disminuir el valor puede empeorar algunos escenarios donde se hace poco uso del sistema de 
archivos como el caso de escritorios. Puede mejorar el desempeno de escenarios donde se 
utiliza activamente el sistema de archivos —generalmente servidores— donde quizá convenga 
destinar más memoria cache para las entradas de directorio e inodos más utilizados a costa de 
un mayor consumo de memoria. 
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El siguiente ejemplo establece un valor igual a 1000 para vm.vfs_cache_pressure: 

sysctl -w vm.vfs_cache„pressure=1000 
Para hacer que el cambio sea permanente edite el archivo /etc/sysctl.conf. 
vi /etc/sysctl.conf 

Ahada la siguiente línea al final del archivo: 
vm.vfs_cache_pressure = 1000 

16.2.2. Asignación de prioridad de memoria de intercambio. 

Es posible dar mayor o menos prioridad de uso a los diversos archivos o dispositivos para memoria de 
intercambio a fin de favorecer aquellos alojados en medios de almacenamiento más rápidos —como unidades 
SDD tipo SDRAM o bien dispositivos creados con zram. El valor de la prioridad puede ser cualquier número 
entero entre 0 y 65535. Mientras más alto sea el número, más alta será la prioridad. 

Desactive el archivo /swap ejecutando lo siguiente: 

swapoff /swap 

Active de nuevo con swapon con la opción -p, el número de prioridad deseada entre 0 y 65535 y /swap como 
argumento. Ejemplo: 

swapon -p 30 /swap 

Ejecute swapon con la ocpión -s: 

swapon -s 


La salida será similar a la siguiente: 


Filename 

/dev/dm-2 

/swap 


iype 

partition 
file 511996 


Size Used 

6336508 44 
0 30 


Priority 

-1 


Para hacer permanente el cambio, edite el archivo /etc/fstab: 


vi /etc/fstab 


Anada pri=30 a la columna de opciones del archivo o dispositivo de memoria de intercambio. Ejemplo: 

/swap swap swap defaults, pri=30 0 0 

Reinicie el sistema y haga nuevamente las comprobaciones ejecutando swapon con la opción -s. 
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17.1. Introducción. 

17.1.1. Acerca de fsck. 

Es la herramienta para verificar y reparar sistemas de archivos en GNU/Linux. Sirve de frente programas 
específicos para la verificación de diversos formatos de particiones —como fsck.ex2, fsck.ext3, fsck.ext4, 
fsck.fat y ntfsck. Detecta automáticamente el formato del sistema de archivos de una partición y elige el 
programa de soporte más adecuado. 

Fsck —acrónimo de file system check — viene instalado de modo predeterminado. Forma parte del paquete 
util-linux que es un componente obligatorio del sistema operativo. 

17.2. Procedimientos. 

La verificación de cualquier partición de la unidad de almacenamiento requiere necesariamente desmontar 
antes ésta. Utilizar fsck en una partición montada ocasionará la pérdida o corrupción de datos. 

Determine que dispositivo corresponde a/boot: 


df -h | grep /boot 


Desmonte la partición correspondiente a /boot. 


umount /boot 


Verifique que la partición /boot esté realmente desmontada: 


df -h | grep /boot 


Una vez desmontada la partición a verificar, es posible realizar los procedimientos de verificación y/o reparación 
utilizando cualquiera de los siguientes ejemplos de uso de fsck. Éstos asumen que /dev/sdal corresponde a la 
partición /boot y que esa ha sido desmontada antes de proceder. 

Forzar la verificación del sistema de archivos, responder automáticamente con «Si» (opción -y) a la reparación 
de cualquier problema que requiera intervención humana (opción -y) y mostrando una barra de progreso 
(opción -C). 


fsck -fyC /dev/sdal 
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Forzar la verificación del sistema de archivos y responder automáticamente con «Si» (opción -y) a la reparación 
de cualquier problema que requiera intervención humana (opción -y). 


fsck -fy /dev/sdal 


Lo mismo que lo anterior, pero además con verificación de solo-lectura para buscar bloques danados (opción 
-c), preservando la lista de bloques danados existente donde se anadirán nuevos bloques danados a ésta 
(opción -k). 


fsck -fykc /dev/sdal 


Lo mismo que lo anterior, pero con verificación de lectura-escritura no-destructiva para buscar bloques 
danados (opción -cc), preservando la lista de bloques danados existente donde se anadirán nuevos bloques 
danados a ésta (opción -k). Sí se encuentra un bloque danado, este se anade al inodo de bloques danados. 


fsck -fykcc /dev/sdal 


Forzar la verificación del sistema de archivos, reparar automáticamente cualquier problema que pueda ser 
resuelto sin intervención humana (opción -p) y mostrando una barra de progreso (opción -C). 


fsck -fpC /dev/sdal 


Forzar la verificación del sistema de archivos y reparar automáticamente cualquier problema que pueda ser 
resuelto sin intervención humana (opción -p). 


fsck -fp /dev/sdal 


Lo mismo que lo anterior, pero además con verificación de solo-lectura para buscar bloques danados (opción 
-c), preservando la lista de bloques danados existente donde se anadirán nuevos bloques danados a ésta 
(opción -k). 


fsck -fpkc /dev/sdal 


Lo mismo que lo anterior, pero con verificación de lectura-escritura no-destructiva para buscar bloques 
danados (opción -cc), preservando la lista de bloques danados existente donde se anadirán nuevos bloques 
danados a ésta (opción -k). Sí se encuentra un bloque danado, este se anade al inodo de bloques danados. 


fsck -fpkcc /dev/sdal 


Verificar el sistema de archivos, reparando automáticamente cualquier problema que pueda ser resuelto sin 
intervención humanay tratando de optimizar los directorios del sistema de archivos (opción -D). 


fsck -fpD /dev/sdal 


La optimización de directorios se realiza volviendo a crear un índice de éstos sí el sistema de archivos incluye 
soporte para índices (como es el caso de Ext4) o bien re-ordenando y comprimiendo directorios en los casos de 
directorios pequenos o bien sistemas de archivos que utilicen directorios lineales tradicionales. 

Lo mismo que lo anterior, pero con verificación de lectura-escritura no-destructiva para buscar bloques danados 
(opción -cc), preservando la lista de bloques danados existente donde se anadirán nuevos bloques danados a 
ésta (opción -k). Sí se encuentra un bloque danado, este se anade al inodo (nodo índice) de bloques danados. 
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fsck -fpDkcc /dev/sdal 

Vuelva a montar /boot una vez terminados los procedimientos. 
mount /boot 

Ejecute lo siguiente para forzar una verificación del sistema de archivos en el siguiente reinicio del sistema: 
touch /forcefsck 

O bien ejecute los siguiente para reiniciar inmediatamente el sistema y forzar una verificación de sistema de 
archivos: 

shutdown -F -r now 
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18.1. Introducción. 

18.1.1. Acerca de dd. 

Es una herramienta para GNU/Linux cuyo propósito principal es convertir y copiar un archivo. El GNU/Linux los 
dispositivos que sirven para acceder hacia las particiones de una unidad de almacenamiento y otros 
dispositivos especiales —como /dev/zero o /dev/urandom— aparecen como archivos en el sistema de archivos 
sobre los cuales puede leer y escribir dd. Por tanto, puede ser utilizado para tareas como respaldar un sector de 
arranque maestro, una partición o una unidad de almacenamiento externo y obtener una cantidad fija de datos 
aleatorios. Puede realizar también la conversión de los sectores de una unidad de almacenamiento mientras se 
copia, incluyendo el orden de intercambio de bytes y convertir desde y hacia las codificaciones de texto ASCII y 
EBCDIC. 

D —posible acrónimo de ddata description — viene instalado de modo predeterminado. Forma parte del 
paquete coreutils que es un componente obligatorio del sistema operativo. 

18.2. Sintaxis básica. 

La sintaxis básica de dd es la siguiente: 


dd if=[origen] of=[destino] bs=[tamano de btoques] count=[número de btoques a copiar] 


En esta sección practicará restaurar y respaldar el sector de arranque maestro y sus partes individuales. Surge 
la siguiente pregunta: ^En qué ruta de guardarán los respaldos? Éstos serán creados en el directorio de trabajo 
actual o bien la ruta que defina con la opción of. Ejemplo: 


dd if=/dev/sda of=/home/fuT.ano/mbr.bin bs=512 count=l 


En el ejemplo anterior se creará un archivo en la ruta /home/fulano/mbr.bin. 
Otro ejemplo: 


dd if=/dev/sda of=mbr.bin bs=512 count=l 


En el ejemplo anterior se creará un archivo denominado mbr.bin en el directorio de trabajo actual. 
Otro ejemplo: 


dd if=/dev/sda of=/root/mbr.bin bs=512 count=l 
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En el ejemplo anterior se creará un archivo en la ruta /root/mbr.bin. 

Una vez comprendido lo anterior, continué con los procedimientos. 

18.3. Respaldo y restauración del sector de arranque maestro. 

Los primeros 512 bytes del disco duro o unidad de almacenamiento utilizado para el sistema operativo, 
corresponde al sector de arranque maestro, donde: 

• Los primeros 446 bytes corresponden al gestor de arranque 

• Los siguientes 64 bytes corresponden a la tabla de particiones. 16 bytes para cada partición 
primaria y/o extendida que existan. 

• Los últimos 2 bytes corresponden a la firma de unidad con capacidad de inicio. También se les 
conoce como los 2 bytes mágicos. 

Ejecute lo siguiente para realizar un respaldo del sector de arranque maestro: 

dd if=/dev/sda of=/root/mbr.bin bs=512 count=l 
Ejecute lo siguiente para restaurar el sector de arranque maestro: 

dd if=/root/mbr.bin of=/dev/sda bs=512 count=l 
Ejecute lo siguiente para respaldar exclusivamente el gestor de arranque: 

dd if=/dev/sda of=gestor.bin bs=446 count=l 
Ejecute lo siguiente para restaurar el gestor de arranque: 

dd if=/root/gestor.bin of=/dev/sda bs=446 count=l 
Ejecute lo siguiente para respaldar exclusivamente la tabla de particiones: 

dd if=/dev/sda of=/root/tabla.bin skip=446 bs=l count=64 
Ejecute lo siguiente para restaurar exclusivamente la tabla de particiones: 

dd if=/root/tabla.bin of=/dev/sda seek=446 bs=l count=64 
Cabe senalar que skip y seek hacen exactamente lo mismo. 

18.4. Borrar el sector de arranque maestro. 

Los siguientes tres ejemplos son sólo demostrativos. Por favor absténgase de ejecutarlos. 
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Lo siguiente sería lo que habría que ejecutar para borrar exclusivamente el gestor de arranque: 
dd if=/dev/zero of=/dev/sda bs=446 count=l 

Lo siguiente sería lo que habría que ejecutar para borrar exclusivamente la tabla de particiones, algo que nadie en su 
sano juicio haría sin tener un respaldo a la mano: 

dd if=/dev/zero of=/dev/sda seek=446 bs=l count=64 

Lo siguiente sería lo que habría que ejecutar para borrar todo el sector de arranque completo, es decir el gestor de 
arranque, tabla de particiones y los dos bytes mágicos: 

dd if=tabla.bin of=/dev/sda bs=512 count=l 

Tenga cuidado al ejecutar los tres ejemplos anteriores. Si se equivoca se corre el riesgo de danar de 
manera irreversible los datos del disco duro o unidad de almacenamiento utilizada. 

18.5. Formato de bajo nivel. 

Los siguientes son ejemplos hipotéticos con fines demostrativos. Absténgase de ejecutarlos. 

Ejecute lo siguiente para dar un formato de bajo nivel y eliminar así toda la información de una hipotética unidad 
de almacenamiento que corresponde a /dev/sde, escribiendo 0 (ceros) en cada sector de ésta: 

dd if=/dev/zero of=/dev/sde 

Ejecute lo siguiente para dar formato de bajo nivel escribiendo números aleatorios en todos los sectores de una 
unidad de almacenamiento que corresponde a /dev/sde: 

dd if=/dev/urandom of=/dev/sde 

Es más eficiente la eliminación de datos si se utiliza el dispositivo de números aleatorios. 
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19.1. Introducción. 

LVM es una implementación que consiste en un administrador de volúmenes lógicos para el núcleo de Linux. 
Fue originalmente escrito en 1998 por Heinz Mauelshagen, quien se basó sobre el administrador de volúmenes 
de Veritas, el cual solía ser utilizado en en sistemas HP-UX. 

Básicamente, LVM2 permite hacer lo siguiente: 

• Cambio de tamano de grupos de volúmenes. 

• Cambio de tamano de volúmenes lógicos. 

• Instantáneas de lectura y escritura (a partir de LVM2). 

• RAIDO de volúmenes lógicos. 

LVM carece de soporte para implementar RAIDl o RAID5, por lo que se recomienda configurar este tipo de 
arreglos por debajo de los volúmenes lógicos y disponer así de los beneficios de éstos. 

LVM se compone de tres partes: 

1. Volúmenes físicos (pv, physical volume). Son particiones en el disco duro, con la bandera 8e. Se 
pueden dividir en extensiones físicas (pe o physical extents). 

2. Volúmenes lógico (Iv o loglcal volume). Se componen de volúmenes físicos. Se pueden dividir en 
extensiones lógicas (le, loglcal extents). 

3. Grupos de volúmenes (vg o volume group). Se componen de uno o más volúmenes lógicos 
utilizados y volúmenes físicos sin utilizar. Son unidades administrativas donde se agrupan los 
recursos. 

Procedimientos más comunes. 

19.1.1. Crecer un volumen lógico a partir de espacio libre en el grupo de volumen. 

El ejemplo hipotético descrito a continuación asume un escenario similar al creado tras seguir los 
procedimientos de instalación descritos en el documento titulado «Procedimiento de instalación de CentOS 
6 con LVM». 

Ejecute df con la opción -h y determine a cuál volumen lógico del sistema anadirá más espacio de 
almacenamiento. 


df -h 


La salida puede ser similar a la siguiente: 
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Filesystem Size 

Used Avail 

Use% 

Mounted on 

/dev/mapper/vg_servidor-lv_ 

_root 




3, 0G 

365M 

2, 5G 

13% 

/ 

tmpfs 504M 

72K 

504M 

1% 

/dev/shm 

/dev/sdal 202M 

50M 

142M 

26% 

/boot 

/dev/mapper/vg_servidor-lv_ 

_home 




20G 

174M 

19G 

1% 

/home 

/dev/mapper/vg_servidor-lv_ 

_tmp 




5, 0G 

139M 

4, 6G 

3% 

/tmp 

/dev/mapper/vg_servidor-lv_ 

_usr 




9, 9G 

3, 0G 

6, 5G 

32% 

/usr 

/dev/mapper/vg servidor-lv 

var 




20G 

314M 

19G 

2% 

/var 

/dev/mapper/vg_servidor-lv_ 

_varlib 




5, 0G 

225M 

4, 5G 

5% 

/var/lib 

/dev/mapper/vg_servidor-lv_ 

_varwww 




5, 0G 

140M 

4, 6G 

3% 

/var/www 


En el escenario hipotético de este documento se asumirá que se aíìadirá más espacio de almacenamiento a el 
volumen lógico correspondiente a /var. 


Ejecute vgdisplay para determinar la cantidad de espacio libre disponible en los grupos de volumen del 
sistema: 


vgdisplay 


La salida será similar a la siguiente: 


— Volume group — 
VG Name 

vg_servidor 

System ID 

Format 

lvm2 

Metadata Areas 

1 

Metadata Sequence No 

9 

VG Access 

read/write 

VG Status 

resizable 

MAX LV 

0 

Cur LV 

8 

Open LV 

8 

Max PV 

0 

Cur PV 

1 

Act PV 

1 

VG Size 

79,79 GÌB 

PE Size 

4,00 MÌB 

Total PE 

20427 

Alloc PE / Size 

17920 / 70,00 GÌB 

Free PE / Size 

2507 / 9,79 GÌB 

VG UUID 

qFlZD0-CUZW-SVHU-aKj K-GHEr-lpta-ft9VaQ 


En el escenario hipotético de este documento hay 9.79 GiB de espacio disponible, es decir están disponibles 
2507 extensiones físicas de 4 MiB. 


Asumiendo el caso hipotético de este documento, ejecute Ivdisplay con la ruta del volumen lógico como 
argumento: 


lvdisplay /dev/mapper/vg_servidor-lv_var 


La salida sera similar a la siguiente: 
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— Logical volume — 
LV Path 

/dev/vg_servidor/lv_var 

LV Name 

lv_var 

VG Name 

vg_servidor 

LV UUID 

Vv2tdR-yXfv-gVll-ioc7-eezS-mrlL-P4j9ND 

LV Write Access 

read/write 

LV Creation host, time 

localhost.localdomain, 2014-06-14 14:38:38 -0500 

LV Status 

available 

# open 

1 

LV Size 

20,00 GÌB 

Current LE 

5120 

Segments 

1 

Allocation 

inherit 

Read ahead sectors 

auto 

- currently set to 

256 

Block device 

253:2 


En el escenario hipotético de este documento este volumen lógico tiene una capacidad de 20.00 GiB. 

Ejecute Ivextend con la opción -I y +100%FREE como argumento —para solicitar se asigne el 100% de las 
extensiones físicas disponibles— y la ruta del volumen lógico como último argumento final: 

lvextend -1 +100%FREE /dev/mapper/vg_servidor-lv_var 


La salida será similar a la siguiente: 


Extending logical volume lv_var to 29,79 GiB 
Logical volume lv_var successfully resized 


Vuelva a ejecutar Ivdisplay con la ruta del volumen lógico como argumento: 

lvdisplay /dev/mapper/vg_servidor-lv_var 


La salida será similar a la siguiente donde se puede ver el incremento en el tamano del volumen lógico: 


— Logical volume — 
LV Path 

LV Name 
VG Name 
LV UUID 

LV Write Access 

LV Creation host, time 

LV Status 

# open 

LV Size 

Current LE 

Segments 

Allocation 

Read ahead sectors 

- currently set to 
Block device 


/dev/vg_servidor/lv_var 

lv_var 

vg_servidor 

Vv2tdR-yXfv-gVll-ioc7-eezS-mrlL-P4j9ND 

read/write 

localhost.localdomain, 2014-06-14 14:38:38 
available 
1 

29,79 GÎB 

7627 

2 

inherit 

auto 

256 

253:2 


-0500 


Si el volumen lógico utiliza formato xfs, haga crecer el sistema de archivos del volumen lógico ejecutando 
xfs_growfs con la ruta del volumen lógico como argumento: 

xfs_growfs /dev/mapper/vg_servidor-lv_var 

La salida será similar a la siguiente: 
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meta-data 

=/dev/mapper/vg_ 

_servidor-lv_var isize=256 agcount=4, agsize=3276800 blks 


= 

sectsz=512 

attr=2, projid32bit=l 


= 

crc=0 

finobt=0 

data 

= 

bsize=4096 

blocks=13107200, imaxpct=25 


= 

sunit=0 

swidth=0 blks 

naming 

=version 2 

bsize=4096 

ascii-ci=0 ftype=0 

log 

=internal 

bsize=4096 

blocks=6400, version=2 


= 

sectsz=512 

sunit=0 blks, lazy-count=l 

realtime 

=none 

extsz=4096 

blocks=0, rtextents=0 

data blocks changed from 

13107200 to 15728640 



Si el volumen lógico utiliza formato ext4, haga crecer el sistema de archivos del volumen lógico ejecutando 
resize2fs con la ruta del volumen lógico como argumento: 

resize2fs /dev/mapper/vg_servidor-lv_var 


La salida será similar a la siguiente. 


resize2fs 1.41.12 (17-May-2010) 

Filesystem at /dev/vg_servidor/lv_var is mounted on /var; on-line resizing required 
old desc_blocks = 2, new_desc_blocks = 2 

Performing an on-line resize of /dev/vg_servidor/lv_var to 7810048 (4k) blocks. 

E1 sistema de ficheros en /dev/vg_servidor/lv_var tiene ahora 7810048 bloques. 


Vuelva a ejecutar df con la opción -h para confirmar el nuevo tamano del volumen lógico modificado. 


df -h 


La salida será similar a la siguiente y deberá mostrar una cantidad mayor de espacio de almacenamiento 
disponible comparada con la del estado inicial. 


Filesystem Size 

Used Avail 

Use% 

Mounted on 

/dev/mapper/vg_servidor-lv_ 

_root 




3, 0G 

365M 

2, 5G 

13% 

/ 

tmpfs 504M 

72K 

504M 

1% 

/dev/shm 

/dev/sdal 202M 

50M 

142M 

26% 

/boot 

/dev/mapper/vg_servidor-lv_ 

_home 




20G 

174M 

19G 

1% 

/home 

/dev/mapper/vg_servidor-lv_ 

_tmp 




5, 0G 

139M 

4, 6G 

3% 

/tmp 

/dev/mapper/vg_servidor-lv_ 

_usr 




9, 9G 

3, 0G 

6, 5G 

32% 

/usr 

/dev/mapper/vg_servidor-lv 

var 




30G 

314M 

28G 

2% 

/var 

/dev/mapper/vg_servidor-lv_ 

_varlib 




5, 0G 

225M 

4, 5G 

5% 

/var/lib 

/dev/mapper/vg_servidor-lv_ 

_varwww 




5, 0G 

140M 

4, 6G 

3% 

/var/www 


Note que este procedimiento se realizó de manera segura son el sistema en funcionamiento y sin necesidad de 
desmontar el volumen lógico. 

19.1.2. Crear un volumen lógico a partir de un disco duro nuevo. 

Ejecute parted para crear una nueva etiqueta en el disco duro nuevo. 

parted /dev/sdb mklabel msdos 
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Ejecute nuevamente parted para crear una partición primaria tipo ext4, que tendrá 10240 GB (inicio en 1, fin en 
10240): 

parted /dev/sdb mkpart primary ext4 1 10480 

Cambie el tipo de partición a LVM: 

parted /dev/sdb set 1 lvm on 

Para visualizar la tabla de particiones y verificar que se ha creado una partición primaria de 10240 MB, tipo 
LVM, ejecute lo siguiente: 

parted /dev/sdb print 


Lo anterior debe devolver una salida similar al al siguiente: 


Model: ATA VB0X HARDDISK (SCSÌ) 

Disk /dev/sdb: 21.5GB 

Sector size (logical/physical): 512B/512B 
Partition Table: msdos 

Numero Inicio Fin Tamano Typo Sistema de ficheros Banderas 
1 1049kB 10.5GB 10.5GB primary lvm 


Para presentar la nueva partición ante el núcleo del sistema, ejecute partprobe del siguiente modo: 


partprobe /dev/sdbl 

Nota. 

Si lo anterior falla, ejecute hdaparm del siguiente modo: 


hdparm -z /dev/sdb 


Para crear un volumen físico, ejecute pvcreate del siguiente modo: 


pvcreate /dev/sdbl 


Ejecute pvscan para verificar el procedimiento anterior: 


pvscan 


Lo anterior deberá devolver una salida similar a la siguiente: 


PV /dev/sda2 VG VolGroup00 lvm2 [53.80 GiB / 0 free] 

PV /dev/sda3 VG VolGroup01 lvm2 [8.00 GiB / 0 free] 

PV /dev/sdbl lvm2 [9.76 GiB] 

Total: 3 [71.55 GiB] / in use: 2 [61.79 GiB] / in no VG: 1 [9.76 GiB] 


Para crear el grupo de volúmenes denominado VolDatos, ejecute vgcreate del siguiente modo: 


vgcreate VolDatos00 /dev/sdbl 
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Ejecute vgscan para verificar el procedimiento anterior: 


vgscan 


Lo anterior deberá devolver una salida similar a la siguiente: 


Reading all physical volumes. This may take a while... 

Found volume group "VolDatosQQ" using metadata type lvm2 

Found volume group "VolGroupQQ" using metadata type lvm2 

Found volume group "VolGroupOl" using metadata type lvm2 


Para crear un volumen lógico, denominado DatosOO, perteneciente al grupo de volúmenes denominado 
VolDatos, asignando el 100% de las extensiones lógicas libres, ejecute Ivcreate del siguiente modo: 


lvcreate -1 100%FREE VolDatos00 -n Datos00 


Ejecute Ivscan para verificar el procedimiento anterior: 


lvscan 


Lo anterior deberá devolver una salida similar a la siguiente: 


ACTIVE 1 /dev/VolDatos00/Datos00' [9.76 GiB] inherit 

ACTIVE '/dev/LogVol00/LogVol01' [53.80 GiB] inherit 

ACTIVE '/dev/LogVol01/LogVol00' [8.00 GiB] inherit 


Si utiliza formato Xfs, ejecute mkfs.xfs con la ruta del volumen lógico como argumento para dar formato al 
nuevo volumen lógico: 


mkfs.xfs /dev/VolDatos00/Datos00 


Si prefiere utilizar formato Ext4, ejecute mkfs.ext4 con la ruta del volumen lógico como argumento para dar 
formato al nuevo volumen lógico: 

mkfs.ext4 /dev/VolDatos00/Datos00 

Ejecute mkdir para crear el punto de montaje /datos: 
mkdir /datos 

Para montar el volumen lógico en el directorio /datos, ejecute lo siguiente: 

mount /dev/VolDatos00/Datos00 /datos 
Ejecute df para verificar el procedimiento anterior: 
df 

Lo anterior deberá devolver una salida similar a la siguiente: 
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S.ficheros Bloques de 1K 

/dev/mapper/VolGroup00-LogVolOO 
26351440 

tmpfs 319096 

/dev/sdal 198337 

/ 

/dev/mapper/VolDatos00-Datos00 

10071208 


Usado 

Dispon 

Uso% 

Montado en 

221008 

26130432 

1% 

/ 

88 

319008 

1% 

/dev/shm 

24376 

163721 

13% 

/boot 

153560 

9406060 

2% 

/datos 


Para que el volumen lógico se monte automáticamente al iniciar el sistema, edite el archivo /etc/fstab: 
vim /etc/fstab 

Anada el siguiente contenido si utiliza formato Xfs: 

/dev/mapper/VolDatos00-Datos00 /datos xfs defaults 1 2 

Ahada el siguiente contenido si utiliza formato Ext4: 

/dev/mapper/VolDatos00-Datos00 /datos ext4 defaults 1 2 

Desmonte y monte de nuevo el volumen lógico para verificar que todo trabaje correctamente. 

umount /datos 
mount /datos 

19.1.2.1. Mover contenidos desde un volumen físico a otro en un nuevo disco duro. 

Asumiendo que se ha realizado todo el procedimiento anterior y que el contenido actual del volumen lógico es 
menor al tamano del nuevo volumen físico anadido al volumen lógico, ejecute pvmove para mover el contenido 
de un volumen físico a otro utilizndo como argumentos los nombres de los dispositivos a utilizar. 

pvmove /dev/sdal /dev/sdbl 

Una vez terminado el movimiento, asumiendo que el tamano del volumen físico en /dev/sdbl, es igual o mayor 
al del volumen físico en /dev/sdal, sólo resta eliminar /dev/sdal del volumen lógico. 

vgreduce VolGroup00 /dev/sdal 

19.1.3. Anadir un volumen físico a un volumen lógico existente, a partir de espacio 
libre sin particionar en un disco duro. 

Se asume un escenario donde: 

• Se utilizará el mismo disco duro del procedimiento anterior y que corresponde al dispositivo 
/dev/sdb 

• El grupo de LVM al cual se anadirá el disco es VolGroupOO 

• Que el volumen lógico que se hará crecer con un nuevo volumen físicos, será LogVolOO. 
Determine el espacio disponible del disco duro, ejecutando parted del siguiente modo: 

parted /dev/sdb unit MB print free 
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Determine en qué MB comienza el espacio libre. 

Para crear una nueva partición de aproximadamente 5120 MB, ejecute parted del siguiente modo: 

parted /dev/sdb mkpart primary ext4 10481 15600 


Nota. 

Es posible que el sistema devuelva una advertencia que indica que se necesita reiniciar para que el núcleo de Linux 
pueda leer la nueva tabla de particiones: 

Aviso: WARNING: the kernel failed to re-read the partition table on /dev/sdb 
(Dispositivo o recurso ocupado). As a result, it may not reflect all of your changes 
until after reboot. 

Ignore la advertencia y continúe trabajando. De ser necesario, reinicie el sistema más adelante o bien ejecute partprobe 
del siguiente modo: 


partprobe /dev/sdb2 


Si lo anterior falla, ejecute hdaparm del siguiente modo: 


hdparm -z /dev/sdb 


Cambie el tipo de partición a LVM: 

parted /dev/sdb set 2 lvm on 

Para visualizar la tabla de particiones y verificar que se ha creado una partición primaria de 5120 MB, tipo LVM, 
ejecute lo siguiente: 

parted /dev/sdb print 


Lo anterior deberá devolver una salida similar a la siguiente: 


Model: ATA VBOX HARDDISK (SCSÍ) 

Disk /dev/sdb: 21.5GB 

Sector size (logical/physical): 512B/512B 
Partition Table: msdos 

Numero Inicio Fin Tamano Typo Sistema de ficheros Banderas 

1 1049kB 10.5GB 10.5GB primary lvm 

2 10.5GB 15.6GB 5119MB primary lvm 


Para crear un volumen físico, ejecute pvcreate del siguiente modo: 

pvcreate /dev/sdb2 

Ejecute pvscan para verificar el procedimiento anterior: 

pvscan 

Lo anterior deberá devolver una salida similar a la siguiente: 
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PV /dev/sda2 VG VolGroupOO lvm2 [53.80 GiB / 0 free] 

PV /dev/sda3 VG VolGroup01 lvm2 [8.00 GiB / 0 free] 

PV /dev/sdb2 lvm2 [4.77 GiB] 

Total: 4 [76.32 GiB] / in use: 3 [71.55 GiB] / in no VG: 1 [4.77 GiB] 


Para anadir este volumen físico, que corresponde a la partición /dev/sdb2, al grupo de volúmenes denominado 
VolGroupOO, ejecute vgextend del siguiente modo: 


vgextend VolGroup00 /dev/sdb2 


Lo anterior debe devolver una salida similar a la siguiente: 

Volume group "VolGroup00" successfully extended 

Para asignar el 100% nuevo espacio libre disponible, provisto por el nuevo volumen físico anadido al grupo de 
volúmenes denominado VolGroupOO, al volumen lógico LogVolOO, ejecute Ivextend del siguiente modo: 

lvextend -1 +100%FREE /dev/VolGroup00/LogVol00 


Lo anterior debe devolver una salida similar a la siguiente: 


Extending logical volume LogVol00 to 31.66 GiB 
Logical volume LogVol00 successfully resized 


Para cambia el tamano del sistema de archivos y que éste utiliza el nuevo espacio libre recién asignado al 
volumen lógico, ejecute resize2fs del siguiente modo: 


resize2fs /dev/VolGroup00/LogVol00 


Lo anterior debe devolver una salida similar a la siguiente: 


resize2fs 1.41.12 (17-May-2010) 

Filesystem at /dev/Datos/LogVol00 is mounted on /home; on-line resizing required 
old desc_blocks = 2, new_desc_blocks = 2 

Performing an on-line resize of /dev/Datos/LogVol00 to 8300544 (4k) blocks. 

El sistema de ficheros en /dev/Vo!Group00/LogVol00 tiene ahora 8300544 bloques. 


Ejecute df con la opción -h para ver el nuevo tamano de del sistema de archivos alojado en 
/dev/VolGroupOO/LogVolOO: 


df -h 


Lo anterior debe devolver una salida similar a la siguiente: 


S.ficheros Size Used Avail Use% Montado en 

/dev/mapper/VolGroup00-LogVol00 

32G 216M 30G 1% / 

/dev/sdal 194M 24M 160M 13% /boot 

/dev/mapper/VolDatos00-Datos00 

9.7G 229M 8.9G 3% /datOS 


19.1.4. Quitar una unidad física a un volumen lógico. 
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Este procedimiento sólo es posible hacerlo si se utiliza Ext4 como formato. El formato Xfs carece de soporte 
para reducir tarnaho del sistema de archivos. Si decide hacerlo, usted tendría que primero respaldar los datos 
del volumen lógico, destruir éste y volver a crearlo con el nuevo tamano y finalmente restaurar los datos. 

Antes de proceder, es importante contar con un respaldo de los datos almacenados en el volumen lógico al cual 
se le quitará la unidad física. Verifique que el respaldo es confiable. 

Este procedimiento requiere que el volumen lógico esté sin montar. Si se trata de un volumen lógico cuyo 
sistema de archivos esté en uso, como /, /usr o /var, el procedimiento debe hacerse desde un disco vivo o bien 
utilizando el disco de instalación en modo de rescate. 

Inicie el sistema con el disco de instalación en modo de rescate. 


Ejecute df y desmonte todas las particiones que estén debajo del directorio /mnt/sysimage. 

Ejecute fsck con la opción -f para verificar la partición a reducir. 
fsck -f /dev/VolGroup00/LogVol00 

Para determinar el tamano al que debe reducirse el sistema de archivos, ejecute parted con la ruta del 
dispositivo correspondiente y print como argumentos: 

parted /dev/sdb print 
Desmonte la partición. 

Ejecute pvdisplay para determinar el tamano de las particiones /dev/sda2 y /dev/sdb2 y cuantas extensiones 
físicas contienen cada una. 


pvdisplay /dev/sda2 /dev/sdb2 


Lo anterior debe devolver una salida similar a la siguiente: 


— Physical 

volume 

— 

PV Name 


/dev/sda2 

VG Name 


VolGroup00 

PV Size 


53.80 GiB / not usable 4.00 MiB 

Allocatable 


yes (but full) 

PE Size 


4.00 MÌB 

Total PE 


13772 

Free PE 


0 

Allocated PE 


13772 

PV UUID 


jZCHg7-ub0R-kziP-hCy6-V12S-tXRm-2qXont 

— Physical 

volume 

— 

PV Name 


/dev/sdb2 

VG Name 


VolGroup00 

PV Size 


4.77 GiB / not usable 2.00 MiB 

Allocatable 


yes (but full) 

PE Size 


4.00 MiB 

Total PE 


1220 

Free PE 


0 

Allocated PE 


1220 

PV UUID 


lk6bMt-3vci-ywlp-Te2w-KPot-kpje-118cAB 
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Primero hay que reducir el tamano del sistema de archivos involucrado, de modo que el nuevo tamano sea 
ligeramente menor al tamaho del volumen físico que se continuará utilizando en el volumen lógico, siempre y 
cuando el espacio utilizado del sistema de archivos sea menor al tamano del volumen físico que se conservara. 
Si se reduce el tamano del sistema de archivos, a uno menor al del espacio utilizado por el contenido actual, se 
perderán todos los datos. 

Asumiendo un escenario como el del ejemplo de arriba, donde el tamano del volumen físico que se conservará 
es de 53.80 GB, defina 52 GB. 

resize2fs /dev/VolGroup00/LogVol00 52G 


Lo anterior debe devolver una salida similar a la siguiente: 


Resizing the filesystem on /dev/Datos/LogVol00 to 7077888 (4k) blocks. 

E1 sistema de ficheros en /dev/Datos/LogVol00 tiene ahora 7077888 bloques. 


Vuelva a verificar el volumen lógico ejecutando fsck, del siguiente modo: 

fsck -f /dev/VolGroup00/LogVol00 

Asumiendo un escenario donde el volumen físico que se eliminará del volumen lógico tiene 1220 extensiones, 
para restar del volumen lógico estas extensiones físicas, ejecute Ivresize del siguiente modo: 

lvresize -1 -1220 /dev/VolGroup00/LogVol00 


Lo anterior le mostrará una advertencia, la cual indica que tiene un alto riesgo reducir el tamano del volumen 
lógico y que es posible se pierdan todos los datos. Es precisamente por ésto que se redujo primero el tamano 
del sistema de archivos. 


WARNING: Reducing active logical volume to 26.90 GiB 
THIS MAY DESTROY YOUR DATA (filesystem etc.) 

Do you really want to reduce LogVol00? [y/n]: 


Si el tamano del sistema de archivos es menor al tamano que se asignará después de eliminar las extensiones, 
correspondientes al volumen físico que se eliminará, puede responder con una y sin temor a perder los datos 
contenidos en el volumen lógico. 


WARNING: Reducing active logical volume to 26.90 GiB 
THIS MAY DESTROY YOUR DATA (filesystem etc.) 

Do you really want to reduce LogVol00? [y/n]:y 
Reducing logical volume LogVol00 to 26.90 GiB 
Logical volume LogVol00 successfully resized 


Para eliminar el volumen físico del grupo de volúmenes denominado VolGroupOO, ejecute lo siguiente: 


vgreduce VolGroup00 /dev/sdb2 


Lo anterior debe devolver una salida similar a la siguiente: 

Removed "/dev/sdb2" from volume group "Datos" 
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Como precaución, se redujo el tamano del sistema de archivos a una cantidad menor a la disponible en el 
volumen físico que se conservó. Ésto deja espacio libre que probablemente se quiera utilizar. Para cambiar el 
tamano del sistema de archivos y que tome todo el espacio disponible en el volumen lógico, ejecute resize2fs 
del siguiente modo: 


resize2fs /dev/VolGroup00/LogVol00 


Lo anterior debe devolver una salida similar a la siguiente: 


resize2fs 1.41.12 (17-May-2010) 

Filesystem at /dev/Datos/LogVol00 is mounted on /home; on-line resizing required 
old desc_blocks = 2, new_desc_blocks = 2 

Performing an on-line resize of /dev/Datos/LogVol00 to 7051264 (4k) blocks. 

E1 sistema de ficheros en /dev/Datos/LogVol00 tiene ahora 7051264 bloques. 


Vuelva a verificar la partición, ejecutando fsck del siguiente modo. 


fdisk -f /dev/VolGroup00/LogVol00 


Monte la partición en el directorio que le corresponda y verifique que contiene datos. Al terminar reinicie el 
sistema y retire el disco de rescate. 


19.2. Bibliografía. 


• https://secure.wikimedia.org/wikipedia/es/wiki/LVM 
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20. Gestión de RAID a través de MDADM. 
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Sitio de Red: http://www.alcancelibre.org/ 


Creative Commons Reconocimiento-NoComercial-Compartirlgual 2.1 


© 1999-2016 Joel Barrios Duenas. Usted es libre de copiar, distribuir y comunicar públicamente la obra y hacer obras derivadas bajo las condiciones siguientes: a) 
Debe reconocer y citar al autor original. b) No puede utilizar esta obra para fines comerciales (incluyendo su publicación, a través de cualquier medio, por entidades 
con fines de lucro). c) Si altera o transforma esta obra o genera una obra derivada, sólo puede distribuir la obra generada bajo una licencia idéntica a ésta. Al 
reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. Alguna de estas condiciones puede no aplicarse si se obtiene el 
permiso del titular de los derechos de autor. Los derechos derivados de usos legítimos u otras limitaciones no se ven afectados por lo anterior. Licencia completa 
en castellano. La información contenida en este documento y los derivados de éste se proporcionan tal cual son y los autores no asumirán responsabilidad alguna 
si el usuario o lector hace mal uso de éstos. 


20.1. Introducción 

MDADM ( Multiple Device Administrator) es un conjunto de herramientas que son utilizadas en GNU/Linux para 
la gestión de RAID ( Redundant Array of Independent Disks, que se traduce como conjunto redundante de 
discos independientes) administrado a través de softvvare, distribuido bajo los términos de la Licencia Pública 
General de GNU versión 2 (GNU/GPLv2). 

El RAID por softvvare permite: 

• Una solución de RAID de muy bajo costo pues prescinde del uso de costosas tarjetas RAID y unidades 
de almacenamiento especiales y que carece de restricciones que regularmente imponen los fabricantes 
de dispositivos de hardvvare privativos. 

• Proceso de reconstrucción de arreglos en subprocesos. 

• Configuración basada sobre el núcleo del sistema. 

• Permite portar de manera transparente los arreglos entre sistemas GNU/Linux sin necesidad de 
reconstruir éstos. 

• Mejor aprovechamiento de los recursos del sistema pues la reconstrucción de los arreglos se hace 
utilizando recursos libres. 

• Soporte para unidades de almacenamiento con capacidad para realizar cambios en caliente (hot-svvap). 

• Detección automática del número de núcleos del microprocesador a fin de aprovechar mejor los 
recursos del sistema. 

URL: kernel.org/pub/linux/utils/raid/mdadm/. 

20.1.1. Tipos de arreglos soportados. 

MDADM permite configurar los siguientes arreglos RAID: 

• RAIDO: Incrementa el índice de transmisión del sistema ( throughput ) mediante el uso de varias 
unidades de disco en paralelo. El rendimiento del sistema con la configuración RAIDO es superior a la 
que proporcionan las configuraciones RAIDl o RAID5, pero se incrementa la posibilidad de pérdida de 
datos porque no hay forma de recuperar o reconstruir los datos almacenados en cualquier disco que 
falle. Requiere 2 discos. 
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• RAIDl: Espejo. El arreglo más lento de todos. Requiere 2 unidades de almacenamiento. 

• RAID4: Igual que RAIDO pero con una unidad de almacenamiento extra para mejorar el desempeno a 
través de la paridad y al mismo tiempo lograr redundancia. Requiere 4 unidades de almacenamiento. 

• RAID5: Igual a RAID4 pero con una paridad distribuida en todas la unidades de almacenamiento. 
Requiere un mínimo de 3 unidades de almacenamiento. 

• RAID6: Igual que RAID5 pero con dos paridades. Requiere un mínimo de 4 unidades de 
almacenamiento. 


• RAIDIO: Se le conoce mejor como RAIDl+0. Combina RAIDl y RAIDO. Requiere un mínimo de 4 
unidades de almacenamiento. 


m 


Nota. 


Un RAIDO+1 (también llamado RAIDOl y que es muy diferente a RAIDl y totalmente opuesto a RAIDl+0) es un arreglo 
usado para replicar y compartir datos entre varios discos. Un RAIDO+l es un espejo de divisiones. Es decir, dos arreglos 
RAIDO en el nivel inferior y un arreglo RAIDl en el nivel superior. Unafalla de disco en RAIDO+l resulta en un unafalla 
completa de uno de los arreglos RAIDO en el nivel inferior y degradación del arreglo en RAIDl en el nivel superior. 


RAIDIO es lo contrario a un RAIDO+1, pues los niveles RAID que lo forman se invierten: un RAIDIO es una división de 
espejos. Es decir un RAIDO en el nivel superior y dos arreglos RAIDl en el nivel inferior. Una falla de disco sólo degrada 
uno de los espejos del nivel inferior sin afectar el RAIDO en el nivel superior, salvo por el desempeno que se pierde por la 
falta de paridad. 


MDADM permite también configurar los siguientes arreglos No-RAID: 

• LINEAR: Concatena unidades de almacenamiento en un sólo dispositivo md. 

• MULTIPATH: permite múltiples rutas con falla en un sólo dispositivo. 

• FAULTY: Un dispositivo que emula varios escenarios de falla de disco. Sólo se utiliza para pruebas y 
desarrollo. 

• CONTAINER: Grupo de dispositivos que son gestionados como un único dispositivo sobre el cual se 
pueden crear dispositivos RAID. 

Equipamiento lógico necesario. 

El paquete mdadm viene instalado de modo predeterminado en ALDOS, Fedora™, CentOS y Red Hat™ 
Enterprise Linux, pues se trata de un paquete obligatorio. Si por algún motivo estuviese ausente, instale o 
actualice el paquete mdadm. 

yum -y install mdadm 


Reinicie el sistema sólo en caso de que el paquete hubiera estado ausente de la instalación, pues debe iniciar 
junto con el servicio mdmonitor. 

20.2. Procedimientos. 
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Se asume que se han anadido varias unidades de almacenamiento en el sistema. Todas las unidades de 
almacenamiento que formen parte de un mismo arreglo siempre deben ser idénticas en capacidad. 


Para listar las capacidades la primera unidad de almacenamiento libre y disponible (/dev/sdb) ejecute lo 
siguiente. 


fdisk -1 /dev/sdb 


La salida debe ser similar a la siguiente: 


DÌSCO /dev/sdb: 8589 MB, 8589934592 bytes 
255 heads, 63 sectors/track, 1044 cylinders 
Units = cilindros of 16065 * 512 = 8225280 bytes 
Sector size (logical/physical): 512 bytes / 512 bytes 
1/0 size (minimum/optimal): 512 bytes / 512 bytes 
Disk identifier: 0x00000000 


Para listar las capacidades la siguiente unidad de almacenamiento (/dev/sdc) ejecute lo siguiente 


fdisk -1 /dev/sdc 


La salida debe ser similar a la siguiente: 


Disco /dev/sdc: 8589 MB, 8589934592 bytes 
255 heads, 63 sectors/track, 1044 cylinders 
Units = cilindros of 16065 * 512 = 8225280 bytes 
Sector size (logical/physical): 512 bytes / 512 bytes 
1/0 size (minimum/optimal): 512 bytes / 512 bytes 
Disk identifier: 0x00000000 


Compruebe que las unidades involucradas son exactamente de la misma capacidad. 

20.2.1. Crear un arreglo tipo RAIDl. 

Ejecute lo siguiente para crear dispositivo RAIDl, indicando el número de dispositivos que lo integrarán y las 
unidades de almacenamiento a utilizar. 


mdadm --create /dev/md0 --level=l \ 
--raid-devices=2 /dev/sdc /dev/sdb 


La salida siempre devuelve una advertencia que recuerda que se debe evitar utilizar dispositivos RAID con 
MDADM para /boot porque muchos gestores de arranque carecen de soporte para metadatos versión l.x y que 
se recomienda usar -metadata=0.90. Pase por alto esta advertencia porque —al menos para los escenarios 
descritos en este documento— el arreglo sólo se utilizará para almacenar datos. 


mdadm: Note: this array has metadata at the start and 

may not be suitable as a boot device. If you plan to 
store ’/boot' on this device please ensure that 
your boot-loader understands md/vl.x metadata, or use 
--metadata=0.90 
Continue creating array? 


Responda pulsado y para proceder. 


Observe la información del arreglo: 
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mdadm --detail --scan 

La salida de lo anterior puede ser similar a la siguiente. 

ARRAY /dev/md0 metadata=1.2 name=0 UUID=ae6c23ea:c62d0933:7e89faee:1174c7d2 

Ejecute lo siguiente para guardar la información del arreglo recién creado en el archivo /etc/mdadm.conf 

mdadm --detail --scan » /etc/mdadm.conf 


Espere a que el arreglo se construya. Se puede ver el estado de progreso ejecutando lo siguiente: 


mdadm --detail /dev/md0 


Lo anterior puede devolver algo similar a lo siguiente: 


/dev/md0: 

Version 
Creation Time 
Raid Level 
Array Size 
Used Dev Size 
Raid Devices 
Total Devices 
Persistence 


1.2 

Tue Jun 11 22:25:30 2013 
raidl 

8384448 (8.00 GÌB 8.59 GB) 
8384448 (8.00 GÌB 8.59 GB) 
2 
2 

Superblock is persistent 


Update Time 
State 
Active Devices 
Working Devices 
Persistence 


Tue Jun 11 22:25:45 2013 

active, resyncing 

2 

2 

Superblock is persistent 


Layout : near=2 
Chunk Size : 512K 


Resync Status : 44% complete 

Name : 1 

UUID : 3ae6c23ea:c62d0933:7e89faee:1174c7d2 
Events : 8 


Number 

0 

Major 

8 

Minor 

32 

RaidDevice 

0 

State 

active 

sync 

/dev/sdc 

1 

8 

16 

1 

active 

sync 

/dev/sdb 


Mientras se va construyendo el arreglo, observe que el valor de State es active, resyncing. El valor de 
Resync Status informará respecto del porcentaje de progreso de la operación. El proceso puede demorar 
desde unos pocos minutos hasta varias horas dependiendo el tamano de las unidades de almacenamiento 
utilizadas. 


Cuando el arreglo esté terminado el valor mostrado por State debe ser sólo active. Ejemplo: 
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/dev/md0: 


Version 

1.2 

Creation Time 

Tue Jun 11 22:25:30 2013 

Raid Level 

raidl 

Array Size 

8384448 (8.00 GÌB 8.59 GB) 

Used Dev Size 

8384448 (8.00 GÌB 8.59 GB) 

Raid Devices 

2 

Total Devices 

2 

Persistence 

Superblock is persistent 

Update Time 

Tue Jun 11 22:26:18 2013 

State 

active 

Active Devices 

2 

Working Devices 

2 

Failed Devices 

0 

Spare Devices 

0 

Name 

0 

UUID 

ae6c23ea:c62d0933:7e89faee:1174c7d2 

Events 

18 

Number Major Minor RaidDevice State 

0 8 

32 0 active sync /dev/sdc 

1 8 

16 1 active sync /dev/sdb 


Puede verificarse un resumen del estado a través de /proc/mdstat. 


cat /proc/mdstat 


Lo anterior puede devolver una salida similar a la siguiente: 


Personalities : [raidl] 

md0 : active raidl sdb[l] sdc[0] 

8384448 blocks super 1.2 [2/2] [UU] 

unused devices: <none> 


A partir de este momento puede utilizar el dispositivo /dev/mdO como cualquier otra unidad de almacenamiento. 
Ejemplo: 

mkfs.ext4 /dev/md0 
mkdir /datos00 
mount /dev/md0 /datos00 
df -h 

umount /datos00 

Lo más recomendado es utilizar el nuevo dispositivo RAID para crear volúmenes lógicos. 

Primero hay que crear una unidad física en el dispositivo RAID. Ejecute lo siguiente: 

pvcreate /dev/md0 


Lo anterior puede devolver una salida similar a la siguiente: 

Physical volume "/dev/md0" successfully created 

Visualice el nuevo volumen físico ejecutando lo siguiente: 
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pvscan 


Lo anterior puede devolver una salida similar a la siguiente: 


PV /dev/sda2 VG VolGroup lvm2 [39,51 GiB / 0 free] 

PV /dev/mdO lvm2 [8,00 GiB] 

Total: 2 [47,50 GiB] / in use: 1 [39,51 GiB] / in no VG: 1 [8,00 GiB] 


Ejecute lo siguiente para generar un nuevo grupo de volumen: 
vgcreate VGDatos00 /dev/md0 

Lo anterior puede devolver una salida similar a la siguiente: 

Volume group "VGDatos00" successfully created 
Ejecute lo siguiente para visualizar el nuevo grupo de volumen: 
vgscan 


Lo anterior puede devolver una salida similar a la siguiente: 


Reading all physical volumes. This may take a while... 
Found volume group "VolGroup" using metadata type lvm2 

Found volume group "VGDatos00" using metadata type lvm2 


Genere un volumen lógico denominado LVDatosOO dentro del grupo de volumen VGDatosOO utilizando cualquier 
porcentaje del espacio disponible. Se recomienda dejar siempre al menos un 10% libre para poder asignarlo 
sólo cuando sea necesario. 


lvcreate -1 90%FREE VGDatos00 -n LVDatos00 

Lo anterior puede devolver una salida similar a la siguiente: 
Logical volume "LVDatos00" created 

Ejecute lo siguiente para visualizar el nuevo volumen lógico: 
lvscan 


Lo anterior puede devolver una salida similar a la siguiente: 


ACTIVE '/dev/VolGroup/lv_root' [38,04 GiB] inherit 

ACTIVE '/dev/VolGroup/lv_swap' [1,47 GiB] inherit 

ACTIVE '/dev/VGDatos00/LVDatos00' [7,19 GiB] inherit 


Ejecute lo siguiente para asignar formato al nuevo volumen lógico: 


mkfs.ext4 /dev/VGDatos00/LVDatos00 


Lo anterior puede devolver una salida similar a la siguiente: 
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mke2fs 1.41.12 (17-May-2010) 

Etiqueta del sistema de ficheros= 

Tipo de SO: Linux 

Tamano del bloque=4096 (bitácora=2) 

Tamano del fragmento=4096 (bitácora=2) 

Stride=0 blocks, Stripe width=0 blocks 
471424 nodos-i, 1885184 bloques 

94259 bloques (5.00%) reservados para el superusuario 
Primer bloque de datos=0 

Número máximo de bloques del sistema de ficheros=1933574144 
58 bloque de grupos 

32768 bloques por grupo, 32768 fragmentos por grupo 
8128 nodos-i por grupo 

Respaldo del superbloque guardado en los bloques: 

32768, 98304, 163840, 229376, 294912, 819200, 884736, 1605632 

Escribiendo las tablas de nodos-i: hecho 
Creating journal (32768 blocks): hecho 

Escribiendo superbloques y la información contable del sistema de ficheros: hecho 

Este sistema de ficheros se revisará automáticamente cada 23 montajes o 
180 dias, lo que suceda primero. Utilice tune2fs -c o -i para cambiarlo. 


Ejecute lo siguiente para generar un punto de montaje para asignar al nuevo volumen lógico: 

mkdir -p /datos00 

Ejecute lo siguiente para montar el nuevo volumen lógico en el nuevo directorio: 

mount /dev/VGDatos00/LVDatos00 /datos00/ 

Ejecute lo siguiente para visualizar el sistema de archivos en el nuevo volumen lógico que se ha anadido en el 
sistema. 


df -h 


Lo anterior puede devolver una salida similar a la siguiente: 


S.ficheros 

Size 

Used 

Avail 

Use% 

Montado en 

/dev/mapper/VolGroup- 

lv_root 

38G 4,3G 

32G 

13% 

/ 

tmpfs 

376M 

0 

376M 

0% 

/dev/shm 

/dev/sdal 

485M 

66M 

394M 

15% 

/boot 

/dev/mapper/VGDatos00 

-LVDatos00 

7,1G 145M 

6, 6G 

3% 

/datos00 


Para que el punto de montaje sea permanente y sea montado automáticamente con el siguiente inicio del 
sistema, edite el archivo /etc/fstab: 


vi /etc/fstab 


Afíada la siguiente línea: 


/dev/mapper/VGDatos00-LVDatos00 /datos00 ext4 defaults 1 2 


Guarde y cierre el archivo. Verifique la configuración desmontando el volumen lógico y volviendo a montar éste 
del siguiente modo: 
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umount /datosOO 
mount /datosOO 

Lo anterior sólo debe devolver el símbolo de sistema. 

Reinicie el sistema para verificar que todo quedó correctamente. Si el sistema reinició correctamente significa 
que esta primera parte del procedimiento se ha concluido el procedimiento. 

Si más adelante necesita utilizar el espacio libre disponible en la unidad física, puede asignarlo con el sistema 
en funcionamiento y la partición montada sólo ejecutando lo siguiente: 

lvextend -1 +100%FREE /dev/mapper/VGDatos00-LVDatos00 
resize2fs /dev/mapper/VGDatos00-LVDatos00 

Compruebe el espacio disponible ejecutando lo siguiente: 
df -h 

Para este escenario, que está lejos de ser el más óptimo, si necesita hacer crecer el sistema de archivos se 
puede crear otro arreglo en RAIDl y repetir el procedimiento para configurar éste como unidad física, luego 
anadirlo a grupo de volumen y crecer el volumen lógico LVDatosOO para incrementar la capacidad de 
almacenamiento. Sólo revise el siguiente ejemplo y en su lugar realice el procedimiento descrito más 
adelante para crear un RAIDIO. 

mdadm --create /dev/mdl --level=l \ 

--raid-devices=2 /dev/sde /dev/sdd 

mdadm --detail --scan » /etc/mdadm.conf 

vi /etc/mdadm.conf 

mdadm --detail 

pvcreate /dev/mdl 

vgextend VGDatos00 /dev/mdl 

lvextend -1 +90%FREE /dev/mapper/VGDatos00-LVDatos00 
resize2fs /dev/mapper/VGDatos00-LVDatos00 


20.2.2. Crear un arreglo tipo RAID10. 

Un RAID10, con o sin LVM, es más eficiente en cuanto a rendimiento que un RAIDl+LVM pues el rendimiento 
sigue siendo el de un RAIDl (espejo sin paridad). 

Para un RAID10 requerirá un mínimo de 4 unidades de almacenamiento. Para el ejemplo a continuación se 
utilizarán 6 unidades de almacenamiento, donde se utilizarán 4 unidades activas en el arreglo y utilizarán 2 
unidades de repuesto, las cuales serán utilizados automáticamente en cuanto falle cualquier otra unidad de 
almacenamiento. Tome en consideración que MDADM es incapaz de hacer crecer los arreglos en RAID10 y 
sólo permite agregar o reemplazar unidades de almacenamiento. 

Ejecute lo siguiente para apagar el sistema: 


poweroff 
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Anada 6 unidades de almacenamiento idénticas. 


Encienda de nuevo el sistema. 

Ejecute lo siguiente para generar un arreglo en RAIDIO utilizando las primeras 4 unidades de almacenamiento 
recién agregadas. 

mdadm --create /dev/mdl --level=raidl0 --raid-devices=4 \ 

/dev/sdd /dev/sde /dev/sdf /dev/sdg 


Espere a que el arreglo se construya. Se puede ver el estado de progreso ejecutando lo siguiente: 


mdadm --detail /dev/mdl 


Lo anterior puede devolver una salida similar a la siguiente: 


/dev/mdl: 

Version : 1.2 

Creation Time : Tue Jun 11 23:30:10 2013 
Raid Level : raidlO 

Array Size : 16768000 (15.99 GiB 17.17 GB) 
used Dev size : 8384000 (8.00 GÌB 8.59 GB) 

Raid Devices : 4 
Total Devices : 4 

Persistence : Superblock is persistent 

Update Time : Tue Jun 11 23:30:49 2013 
State : active, resyncing 
Active Devices : 4 
Working Devices : 4 
Failed Devices : 0 
Spare Devices : 0 

Layout : near=2 
Chunk Size : 512K 

Resync Status : 44% complete 

Name : 1 

UUID : 342944f9:8dlf5acf:2d72653b:alf2f253 
Events : 8 


Number 

Major 

Minor 

RaidDevice 

State 



0 

8 

48 

0 

active 

sync 

/dev/sdd 

1 

8 

64 

1 

active 

sync 

/dev/sde 

2 

8 

80 

2 

active 

sync 

/dev/sdf 

3 

8 

96 

3 

active 

sync 

/dev/sdg 


Continúe hasta que se haya completado por completo la construcción del arreglo. 

Tras unos minutos, ejecute lo siguiente para verificar que haya concluido el proceso de construcción del arreglo. 

mdadm --detail /dev/mdl 

Lo anterior puede devolver una salida similar a la siguiente: 
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/dev/mdl: 

Version : 1.2 

Creation Time : Tue Jun 11 23:30:10 2013 
Raid Level : raidlO 

Array Size : 16768000 (15.99 GiB 17.17 GB) 
used Dev size : 8384000 (8.00 GÌB 8.59 GB) 

Raid Devices : 4 
Total Devices : 4 

Persistence : Superblock is persistent 

Update Time : Tue Jun 11 23:31:36 2013 
State : active 
Active Devices : 4 
Working Devices : 4 
Failed Devices : 0 
Spare Devices : 0 

Layout : near=2 
Chunk Size : 512K 

Name : 1 

UUID : 342944f9:8dlf5acf:2d72653b:alf2f253 
Events : 18 

Number Major Minor RaidDevice State 

0 8 48 0 active sync /dev/sdd 

1 8 64 1 active sync /dev/sde 

2 8 80 2 active sync /dev/sdf 

3 8 96 3 active sync /dev/sdg 


Ejecute lo siguiente para agregar dos unidades de almacenamiento como repuestos: 


mdadm --add /dev/mdl /dev/sdh 
mdadm --add /dev/mdl /dev/sdi 

Ejecute lo siguiente para observar el estado del arreglo y verificar que se han aíìadido todas las unidades de 
almacenamiento de repuesto inactivas. 

mdadm --detail /dev/mdl 


Lo anterior puede devolver una salida similar a la siguiente: 
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/dev/mdl: 

Version : 1.2 

Creation Time : Tue Jun 11 23:30:10 2013 
Raid Level : raidlO 

Array Size : 16768000 (15.99 GiB 17.17 GB) 
used Dev size : 8384000 (8.00 GÌB 8.59 GB) 
Raid Devices : 4 
Total Devices : 6 

Persistence : Superblock is persistent 

Update Time : Tue Jun 11 23:34:56 2013 
State : active 
Active Devices : 4 
Working Devices : 6 
Failed Devices : 0 
Spare Devices : 2 

Layout : near=2 
Chunk Size : 512K 


Name : 1 

UUID : 342944f9:8dlf5acf:2d72653b:alf2f253 
Events : 20 


Number 

0 

Major 

8 

Minor 

48 

RaidDevice 

0 

State 

active 

sync 

/dev/sdd 

1 

8 

64 

1 

active 

sync 

/dev/sde 

2 

8 

80 

2 

active 

sync 

/dev/sdf 

3 

8 

96 

3 

active 

sync 

/dev/sdg 

4 

8 

112 

- 

spare 

/dev/sdh 

5 

8 

128 

- 

spare 

/dev/sdi 


Guarde la información del arreglo recién creado en el archivo /etc/mdadm.conf. 

mdadm --detail --scan » /etc/mdadm.conf 

Edite el archivo /etc/mdadm.conf y quite las líneas repetidas. 

vi /etc/mdadm.conf 

Este paso es importante, pues puede hacer que los arreglos repetidos sean imposibles de utilizar y el sistema 
sea incapaz de iniciar normalmente. 

Una vez que esté todo configurado, proceda a crear otro volumen lógico: 


199 








Joel Barrios Duenas 


Configuración de Servidores con GNU/Linux 


pvcreate /dev/mdl 
pvscan 

vgcreate VGDatosOl /dev/mdl 
vgscan 

lvcreate -1 90%FREE VGDatosQl -n LVDatosQl 
lvscan 

mkfs.ext4 /dev/mapper/VGDatos01-LVDatos01 
mkdir -p /datosOl 

mount /dev/mapper/VGDatos01-LVDatos01 /datosOl 
df -h 

umount /datosOl 

Edite el archivo /etc/fstab: 

vi /etc/fstab 

Anada la siguiente línea: 

/dev/mapper/VGDatos01-LVDatosOl /datosOl ext4 defaults 1 2 

Reinicie el sistema para verificar que todo quedó configurado correctamente. 

Si el sistema reinició correctamente significa que se ha concluido el procedimiento. 

20.2.3. Eliminar una unidad de almacenamiento de un arreglo. 

Para eliminar una unidad de almacenamiento por falla o simplemente para probar, ejecute: 

mdadm /dev/mdl --fail /dev/sdd --remove /dev/sdd 

Lo anterior puede devolver una salida similar a la siguiente: 

mdadm: set /dev/sdd faulty in /dev/mdl 
mdadm: hot removed /dev/sdd from /dev/mdl 

Ejecute lo siguiente para observar el detalle del arreglo donde observará que se reconstruye el arreglo con la 
unidad de almacenamiento de repuesto: 

mdadm --detail /dev/mdl 

Lo anterior puede devolver una salida similar a la siguiente donde se podrá observar que en el estado se 
reporta arreglo limpio, degradado pero en recuperación: 
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/dev/mdl: 

Version 
Creation Time 
Raid Level 
Array Size 
Used Dev Size 
Raid Devices 
Total Devices 
Persistence 


1.2 

Tue Jun 11 23:30:10 2013 
raidlO 

16768000 (15.99 GÌB 17.17 GB) 
8384000 (8.00 GÌB 8.59 GB) 

4 

5 

Superblock is persistent 


Update Time 
State 
Active Devices 
Working Devices 
Failed Devices 
Spare Devices 


Tue Jun 11 23:48:05 2013 

clean, degraded, recovering 

3 

5 

0 

2 


Layout 
Chunk Size 


near=2 

512K 


Rebuild Status : 67% complete 
Name : 1 

UUID : 342944f9:8dlf5acf:2d72653b:alf2f253 
Events : 36 


Number 

Major 

Minor 

RaidDevice 

State 

5 

8 

128 

0 

spare rebuilding /dev/sdi 

1 

8 

64 

1 

active sync /dev/sde 

2 

8 

80 

2 

active sync /dev/sdf 

3 

8 

96 

3 

active sync /dev/sdg 

4 

8 

112 

•'f' 

spare /dev/sdh 


Ejecute lo siguiente para anadir al arreglo la unidad anteriormente eliminada, simulando que se trata de una 
unidad de almacenamiento nueva: 


mdadm --zero-superblock /dev/sdd 
mdadm --add /dev/mdl /dev/sdd 

Lo anterior puede devolver una salida similar a la siguiente: 

mdadm: added /dev/sdd 

Ejecute lo siguiente para comprobar que la unidad de almacenamiento se ha agregado como unidad de 
repuesto: 

mdadm --detail /dev/mdl 

Lo anterior puede devolver una salida similar a la siguiente: 
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/dev/mdl: 

Version 
Creation Time 
Raid Level 
Array Size 
Used Dev Size 
Raid Devices 
Total Devices 
Persistence 


1.2 

Tue Jun 11 23:30:10 2013 
raidlO 

16768000 (15.99 GÌB 17.17 GB) 
8384000 (8.00 GÌB 8.59 GB) 

4 

6 

Superblock is persistent 


Update Time 
State 
Active Devices 
Working Devices 
Failed Devices 
Spare Devices 


Tue Jun 11 23:50:09 2013 

clean 

4 

6 

0 

2 


Layout 
Chunk Size 


near=2 

512K 


Name 

UUID 

Events 


342944f9:8dlf5acf:2d72653b:alf2f253 
46 


Number 

5 

Major 

8 

Minor 

128 

RaidDevice 

0 

State 

active 

sync 

/dev/sdi 

1 

8 

64 

1 

active 

sync 

/dev/sde 

2 

8 

80 

2 

active 

sync 

/dev/sdf 

3 

8 

96 

3 

active 

sync 

/dev/sdg 

4 

8 

112 

_ 

spare 

/dev/sdh 

6 

8 

48 

- 

spare 

/dev/sdd 


20.2.4. Eliminar un arreglo del sistema. 

Para eliminar un arreglo, primero desmonte el sistema de archivos. En el siguiente ejemplo realizará con el 
arreglo configurado como /dev/mdO. 

umount /datos00 

Edite el archivo /etc/fstab: 


vi /etc/fstab 

Elimine la linea que corresponda al sistema de archivos contenido en el arreglo. 

Si fuese el caso, se debe eliminar el volumen lógico que pudisese contener. Ejemplo: 

lvremove LVDatos00 

Ejecute lo siguiente para eliminar el grupo de volumen: 

vgremove VGDatos00 

Ejecute lo siguiente para detener el arreglo: 

mdadm --stop /dev/md0 

Edite el archivo /etc/mdadm.conf: 
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vi /etc/mdadm.conf 

Elimine la línea que correspondía al arreglo /dev/mdO. 

Verifique que se ha eliminado el arreglo ejecutando: 
mdadm --detail --scan 

Ejecute lo siguiente para poder volver a utilizar las unidades de almacenamiento saludables para anadirlas a 
otro arreglo o bien como unidades físicas en un volumen lógico: 

mdadm --zero-superblock /dev/sdb 
mdadm --zero-superblock /dev/sdc 


20.3. Otras alternativas para gestionar MDADM. 

Cabe sehalar que Webmin incluye una excelente herramienta de administración para arreglos de disco con 
MDADM. 

Si utiliza CentOS o Red Hat™ Enterprise Linux, descargue el archivo de configuración del almacén YUM de 
AlcanceLibre.org ejecutando lo siguiente: 


wget http://www.alcancelibre.org/al/server/AL-Server.repo \ 
-0 /etc/yum.repos.d/AL-Server.repo 


Instale el paquete ejecutando lo siguiente 


yum -y install webmin 


Una vez concluida la instalación del paquete, para poder acceder hacia la interfaz de Webmin es necesario abrir 
en el muro cortafuegos el acceso hacia el puerto 10000 por TCP. Ejecute lo siguiente para modificar el 
cortafuegos predeterminado del sistema: 


iptables -A INPUT -m state --state NEW -m tcp -p tcp \ 
--dport 10000 -j ACCEPT 


Ejecute lo siguiente para guardar los cambios en la configuración del muro cortafuegos: 


service iptables save 


Acceda hacia https://nombre.dominio.tld: 10000/ utilizando cualquier navegador para interfaz gráfica. Ingrese 
como root y descubra que todos los procedimientos descritos en este documento se pueden hacer más 
fácilmente desde el módulo Linux RAID de la sección de Hardware de Webmin. El objetivo de este documento 
es que usted conozca cómo funciona todo por debajo de lo que puede hacer Webmin y pueda prescindir de 
dicha interfaz en cualquier circunstancia que así lo requiera. 
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© 1999-2016 Joel Barrios Duenas. Usted es libre de copiar, distribuir y comunicar públicamente la obra y hacer obras derivadas bajo las condiciones siguientes: a) 
Debe reconocer y citar al autor original. b) No puede utilizar esta obra para fines comerciales (incluyendo su publicación, a través de cualquier medio, por entidades 
con fines de lucro). c) Si altera o transforma esta obra o genera una obra derivada, sólo puede distribuir la obra generada bajo una licencia idéntica a ésta. Al 
reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. Alguna de estas condiciones puede no aplicarse si se obtiene el 
permiso del titular de los derechos de autor. Los derechos derivados de usos legítimos u otras limitaciones no se ven afectados por lo anterior. Licencia completa 
en castellano. La información contenida en este documento y los derivados de éste se proporcionan tal cual son y los autores no asumirán responsabilidad alguna 
si el usuario o lector hace mal uso de éstos. 


21.1. Introducción. 

21.1.1. Acerca de Ext3. 

Ext3 ( third extended filesystem o tercer sistema de archivos extendido) se diferencia de ext2 en que trabaja con 
registro por diario ( journaling ) y porque utiliza un árbol binario balanceado (árbol AVL, creado por los 
matemáticos rusos Georgii Adelson-Velskii y Yevgeniy Landis) y también por incorporar el método Orlov de 
asignación para bloques de disco (el mismo que se gestiona a través de Isattr y chattr). Además ext3 permite 
ser montado y utilizado como si fuera ext2 y actualizar desde ext2 hacia ext3 sin necesidad de formatear la 
partición y sin perder los datos almacenados en ésta. Es el sistema de archivos predeterminado en CentOS 5 y 
Red Hat™ Enterprise Linux 5. 

21.1.2. Acerca de Ext4. 

Ext4 ( fourth extended filesystem o cuarto sistema de archivos extendido) es un sistema de archivos con registro 
por diario, publicado por Andrew Morton como una mejora compatible con el formato Ext3 el 10 de octubre de 
2006. El 25 de diciembre de 2008 se publicó la versión 2.6.28 del núcleo de Linux, la cual eliminó la etiqueta 
experimental de código de Ext4. Las mejoras respecto de Ext3 incluyen, entre otras cosas, el soporte de 
volúmenes de hasta 1024 PiB, soporte anadido de extents (conjunto de bloques físicos contiguos), menor uso 
de recursos de sistema, mejoras sustanciales en la velocidad de lectura y escritura y verificación más rápida 
con fsck. Es el sistema de archivos predeterminado en CentOS 6 y Red Hat™ Enterprise Linux 6. 

21.1.3. Acerca del registro por diario (journaling). 

El registro por diario (journaling ) es un mecanismo por el cual un sistema de archivos implementa 
transacciones. Consiste en un registro en el que se almacena la información necesaria para restablecer los 
datos danados por una transacción en caso de que ésta falle, como puede ocurrir durante una interrupción de 
energía. 

21.2. Procedimientos 


Ejecute df sin argumentos para determinar los dispositivos que corresponden a cada partición de la unidad de 
almacenamiento. Ejemplo: 


[root@servidor 
S.archivos 

-]# df 

Bloques de 1K Usado 

Dispon 

Uso% Montado en 

/dev/hda2 

19283024 

17279260 

1207584 

94% / 

/dev/sdal 

77749 

21905 

51830 

30% /boot 

/dev/sdbl 

17496684 

10618980 

5988912 

64% /home 

/dev/hda5 

54158844 

41284544 

11223624 

79% /var/ftp 

/dev/sda2 

15352348 

4874232 

9698164 

34% /home/rpmbuild 

tmpfs 

777732 

0 

777732 

0% /dev/shm 
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Una vez determinados que dispositivos corresponden a las diferentes particiones, pueden aplicarse varios 
métodos de optimización. 

21.2.1. Uso de e2fsck. 

Se trata de una herramienta que sirve de frente para fsck.ext2, fsck.ext3 y fsck.ext4 que realiza la detección 
automática del formato y realiza la verificación y reparación del sistema de archivos en formato ext2, ext3 y 
ext4. 


La opción -D realiza la optimización de directorios en el sistema de archivos. Ésta consiste en volver a 
posicionar ( reindexing ) los directorios, cuando el sistema de archivos incluye soporte para tal o volviendo a 
acomodar y comprimiendo directorios. La opción -D se debe utilizar junto con la opción -f para forzar la 
verificación de la partición. 

Es indispensable que la partición esté desmontada para utilizar e2fsck. Para desmontar una partición es 
indispensable que ningún proceso haga uso de contenidos en ésta. Utilice Isof para determinar ésto. 

En el siguiente ejemplo se desmontará y optimizará el hipotético dispositivo /dev/sda3 que hipotéticamente 
corresponde a / home: 


umount /home 

e2fsck -f -D /dev/sda3 


La salida puede devolver algo similar a lo siguiente: 


[root@ml00 SPECS]# e2fsck -D -f /dev/sda3 
e2fsck 1.39 (29-May-2006) 

Pass 1: Checking inodes, blocks, and sizes 

Pass 2: Checking directory structure 

Pass 3: Checking directory connectivity 

Pass 3A: Optimizing directories 

Pass 4: Checking reference counts 

Pass 5: Checking group summary information 

/home: ***** file SYSTEM WAS MODIFIED ***** 

/home: 13/5244736 files (7.7% non-contiguous), 208319/5243214 blocks 


Monte de nuevo la particiones optimizadas después de terminar el procedimiento. 
mount /home 


En el caso de tratarse de particiones donde sea imposible desmontar por encontrarse en uso, reinicie el sistema 
con el disco de instalación en modo de rescate de CentOS, Fedora™, Red Hat™ Enterprise Linux, 
openSUSE™ y SuSE™ Linux Enterprise o bien utilice un Disco Vivo ( LiveCD ). 

21.2.2. Opciones de montado. 

Los sistemas de archivos ext3 y ext4 permiten tres opciones que mejoran el desempeno del sistema de 
archivos. Todas se especifican en la columna de opciones de los dispositivos en el archivo /etc/fstab. 


dispositivo punto de montaje formato opciones a b 


De la descripción anterior, a define si la partición se verifica con cada inicio del sistema y b define la prioridad de 
montaje. Ejemplo del contenido del archivo /etc/fstab: 
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# 

# /etc/fstab 

# Created by anaconda on Mon Aug 22 14:39:31 2011 

# 

# Accessible filesystems, by reference, are maintained under ’/dev/disk' 

# See man pages fstab(5), findfs(8), mount(8) and/or blkid(8) for more info 

# 


UUID=a3b3ebcd-e342-43fb-bc33-adf4dle409ff 

/ 

ext4 

defaults 

1 

1 

UUID=32932fc8-0e4f-4a68-80a0-28d873al5f87 

/boot 

ext4 

defaults 

1 

2 

UUID=68ea9cb2-959a-4dfl-8d3f-8e8554db4925 

/home 

ext4 

defaults 

1 

2 

UUID=238e532b-250C-4a80-87a3-3aecc9715795 

/tmp 

ext4 

defaults 

1 

2 

UUID=03df5f97-5c88-4883-97fl-5091940fa30e 

swap 

swap 

defaults 

0 

0 

tmpfs 

/tmp 

tmpfs 

defaults 

0 

0 

tmpfs 

/dev/shm 

tmpfs 

defaults 

0 

0 

devpts 

/dev/pts 

devpts 

gid=5,mode=620 

0 

0 

sysfs 

/sys 

sysfs 

defaults 

0 

0 

proc 

/proc 

proc 

defaults 

0 

0 


Edite el archivo /etc/fstab: 
vi /etc/fstab 


21.2.2.1. Opciones noatime y nodiratime (eliminar tiempos de acceso). 

Estas opciones constituyen la forma más rápida y fácil de lograr mejoras en el desempeno. Impiden se actualice 
los tiempos de acceso de los inodos (nodos índice), los cuales realmente son poco utilizados por la mayoría de 
las aplicaciones. 

Permiten un mejor desempeno en servidores de noticias, servidores de archivos, servidores FTP y servidores 
HTTP pues permite un más rápido acceso hacia el sistema de archivos. En computadoras portátiles permite 
reducir —de manera considerable— la cantidad de procesos de E/S o Entrada y Salida (1/0 o Input/Output) de 
la unidad de almacenamiento. Equivale a utilizar chattr +A, pero aplicado a todos los datos de la partición. La 
opción nodiratime, que elimina los tiempos de acceso de los directorios, complementa a la opción noatime. 

En el siguiente ejemplo se configurará la opción noatime para el volumen lógico correspondiente a /var/www 
en el archivo /etc/fstab. 


/dev/mapper/lv_varwww /var/www ext4 defaults, noatime,nodiratime 1 2 


21.2.2.2. Opción commit (consignación de cambios). 

Esta opción controla el tiempo que se utilizará entra cada operación sincronización (sync) de datos y 
metadatos en una partición. El tiempo predeterminado es de 5 segundos y puede incrementarse para 
mejorar el desempeno, tomando en consideración que si se específica demasiado tiempo y ocurre una 
interrupción de energía antes de hacer una operación de sincronización (sync), se perderán los datos más 
recientes con los que se haya trabajado. Sólo usarla se recomienda si se dispone de un sistema de 
respaldo de energía confiable. 

En el siguiente ejemplo, se configurará la opción commit con el valor equivalente a 30 segundos para el 
volumen lógico correspondiente a /var/www en el archivo /etc/fstab. 


/dev/mapper/lv_varwww /var/www ext4 defaults,noatime,nodiratlme, commit=30 1 2 


21.2.2.3. Opción data (datos). 
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Nota: Debido a que se debe desmontar y volver a montar para aplicar los cambios, se requiere que la partición 
a optimizar esté sin utilizar, por lo cual se recomienda realizar los procedimiento desde un disco de rescate o 
bien iniciando el sistema en nivel de ejecución 1 (mono-usuario) o bien realizar las modificaciones y reiniciar el 
sistema. 

Esta opción permite tres posibles valores: 

• ordered: Es el valor predeterminado. Escribe primero los datos asociados a los metadatos en el 
sistema de archivos antes de hacerlo en el registro por diario. Si la prioridad es garantizar la 
integridad de datos o bien se carece de un sistema de respaldo de energía confiable, es la opción 
que debe utilizarse. 

• journal: Es lo opuesto a ordered. Obliga a escribir primero los datos asociados a los metadatos 
en el registro por diario y luego en el sistema de archivos, por lo cual utiliza un registro por diario 
más grande y el cual demora más tiempo en recuperarse en caso de una falla del sistema o 
interrupción de energía. Éste es el método más lento en la mayoría de los casos, salvo que se 
realicen operaciones de lectura y escritura simultánea, como ocurre con las bases de datos. 

• writeback: Hace que el sistema de archivos se comporte de manera similar a XFS. Sin preservar 
el ordenamiento al escribir en el disco, de modo que las consignaciones de cambios ( commits ) 
en el registro por diario puede ocurrir antes de la escritura en el sistema de archivos. Este 
método es el más rápido porque sólo los metadatos se almacenan en el registro por diario, pero 
puede ocasionar que se muestren datos viejos después de una falla del sistema o interrupción de 
energía. Sólo se recomienda si se dispone de un sistema de respaldo de energía confiable o bien 
si en la partición configurada con este formato de registro por diario hay cambios poco 
frecuentes en los datos (como el caso de /boot, /, /usr, /opt, /usr/local, y, en algunos, 
escenarios para /var/www o /srv) o bien particiones para temporales o caches (como /tmp, 
/var/tmp y /var/cache. Poco recomendado para particiones donde hay cambios frecuentes en los 
datos almacenados, como ocurre con /home o /var, /var/lib o /var/spool. 

Edite el archivo /etc/fstab: 

vi /etc/fstab 


En el siguiente ejemplo hipotético se configurará en el archivo /etc/fstab el volumen lógico correspondiente a 
/var/www con la opción data con el valor writeback y el volumen lógico correspondiente a /var/lib con la 
opción data y el valor journal. 


/dev/mapper/lv_varwww 

/var/www 

ext4 

defaults,data=writeback 

1 2 

/dev/mapper/lv_varlib 

/var/lib 

ext4 

defaults,data=journal 

1 2 


Si se utiliza CentOS 6, cualquier versión reciente de Fedora™ o Red Hat™ Enterprise Linux 6, el formato del 
registro por diario se actualiza automáticamente al reiniciar el sistema o bien tras desmontar y volver a montar 
el sistema de archivos que se haya modificado. 

Si se utiliza CentOS 5 o Red Hat™ Enterprise Linux 5, es necesario convertir los registros por diario a su 
nuevo formato utilizando tune2fs. En el siguiente ejemplo se cambia el formato del registro por diario writeback 
al volumen lógico /dev/mapper/vg_01-LogVol0 que correspondería al directorio /var/www del ejemplo anterior: 

tune2fs -o journal_data_writeback /dev/mapper/lv_varwww 


En el caso donde se desea cambiar el formato del registro por diario a journal, considerando el ejemplo 
descrito arriba, donde el volumen lógico /dev/mapper/lv_varlib corresponde al directorio /var/lib, se ejecutaría 
algo similar a lo siguiente: 


tune2fs -o journal_data /dev/mapper/lv_varlib 
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Para aplicar los cambios, sin correr el riesgo de reiniciar con errores de sintaxis en el archivo /etc/fstab que 
impedirían montar las particiones configuradas, asumiendo que el sistema está en el nivel de ejecución 1 
(mono-usuario), ejecute umount para desmontar la partición a modificar y posteriormente mount para volver a 
montarla. Ejemplos: 


umount /var/www 
umount /var/lib 
mount /var/www 
mount /var/lib 


Ejecute mount con la opción -o remount siempre devolverá un error de opción incorrecta. Esta es la razón por 
la cual se desmontan y montan las particiones para cambiar el tipo de registro por diario de las particiones. 

Si lo anterior devuelve el símbolo de sistema sin errores, significa que las opciones se aplicaron 
correctamente y que el sistema puede ser reiniciado con toda seguridad en el momento que se considere 
apropiado. 


Para revertir el cambio y volver a utilizar el formato ordered, se edita nuevamente el archivo /etc/fstab: 


vi /etc/fstab 


Y se elimina la opción data y su valor correspondiente del archivo /etc/fstab: 


/dev/mapper/lv_varwww 

/var/www 

ext4 

defaults 

1 2 

/dev/mapper/lv_varlib 

/var/lib 

ext4 

defaults 

1 2 


Ejecute tune2fs con la opción -o y el valor journal data_ordered y el volumen lógico o partición como 
argumento. En el siguiente ejemplo se regresa al formato ordered a los volúmenes lógicos de los ejemplos 
anteriores: 


tune2fs -o journal_data_ordered /dev/mapper/lv_varwww 
tune2fs -o journal_data_ordered /dev/mapper/lv_varlib 


Para aplicar los cambios, sin correr el riesgo de reiniciar con errores de sintaxis en el archivo /etc/fstab que 
impedirían montar las particiones configuradas, asumiendo que el sistema está en el nivel de ejecución 1 
(mono-usuario), ejecute umount utilizando como argumento el nombre del punto de montaje de la partición 
involucrada para desmontar ésta y posteriormente utilice mount para volver a montarla. Ejemplos: 


umount /var/www 
umount /var/lib 
mount /var/www 
mount /var/lib 


21.2.3. Convirtiendo particiones de Ext3 a Ext4. 

En CentOS 6, versiones recientes de Fedora™ y Red Hat™ Enterprise Linux 6 el formato predeterminado en 
las particiones es Ext4, por lo cual es innecesario convertir de Ext3 a Ext4. 

Ext4 ha demostrado ser un sistema de archivos con mucho mejor desempeno que Ext3. Si sólo se necesita 
hacer pruebas, es posible montar una partición Ext3 como si fuese Ext4, modificando el archivo /etc/fstab, 
aunque se carecerá de muchas de las mejoras de Ext4. 
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CentOS 5.5 y versiones posteriores incluyen el soporte necesario para convertir al formato Ext4 las particiones 
Ext3 preservando los datos originales en el sistema de archivos, con la única restricción de que jamás se 
deberá convertir a Ext4 las particiones que correspondan /boot y / debido a que en CentOS 5 y Red Hat™ 
Enterprise Linux 5 el gestor de arranque carece de soporte para iniciar desde particiones Ext4. 

Es muy importante realizar un respaldo de información relevante antes de proceder, por si acaso algo 
saliese mal.. Si se utiliza CentOS 5 o Red Hat™ Enterprise Linux 5, jamás se deben convertir a Ext4 las 
particiones que correspondan a /boot y /. 

En CentOS 5 o Red Hat™ Enterprise Linux 5, para poder utilizar el formato Ext4 en cualquier otra partición, 
se requiere que el sistema tenga instalado el paquete e4fsprogs: 

yum -y install e4fsprogs 


Este paquete incluye las herramientas necesarias para gestionar particiones Ext4, como son e4fsck, e4label, 
mke4fs, mkfs.ext4 y dumpe4fs, entre otras herramientas. 

A partir de este punto —y con el objetivo de realizar pruebas— sólo será necesario editar el archivo /etc/fstab y 
modificar la configuración de cualquier partición (excepto las que correspondan a /boot y /) y cambiar ext3 
por ext4. Hasta aquí, es posible revertir el cambio volviendo a editar el archivo /etc/fstab y volviendo a definir 
ext3 como formato de la partición modificada. 

Para convertir una partición por completo a Ext4, lo cual haría que de modo irreversible jamás se pueda 
volver a montar como Ext3, debe desmontarse primero la partición a convertir y posteriormente ejecutar 
tune4fs con las opciones -O extents,uninit_bg,dirjndex. En el siguiente ejemplo ejecuta tune4fs a la 
partición /dev/sda7, que correspondería a /tmp, para convertirla a Ext4. 


umount /tmp 

tune4fs -0 extents, uninit__bg, dir_index /dev/sda7 


Ejecute fsck.ext4 para verificar el sistema de archivos de la partición y así completar los cambios necesario. 
Ejecute fsck.ext4 con las opciones -fyD (forzar verificación, contestar si a todas las modificaciones necesarias 
y optimizar directorios). 

fsck.ext4 -fyD /dev/sda7 


Si la partición está en uso, como sería el caso de las correspondientes a /usr y/o /var, será necesario hacer lo 
anterior desde un disco vivo o bien un disco de rescate. El modo de rescate del disco de instalación de 
CentOS, versión 5.5 en adelante, incluye también soporte básico para Ext4, aunque carece de soporte para 
convertir particiones de Ext3 a Ext4 utilizando tune2fs y carece de tune4fs. Por tanto, el intérprete de 
mandatos del modo de rescate del disco de instalación de CentOS 5.5 sólo permitirá verificar y reparar 
particiones Ext4 a través de fsck.ext4. 


En el archivo /etc/fstab se reemplaza LABEL=/tmp por el nombre real del dispositivo y ext3 por ext4. 


LABEL=/ 

/ 

ext3 

defaults 

1 1 

LABEL=/boot 

/boot 

ext3 

defaults 

1 2 

/dev/sda7 

/tmp 

ext4 

defaults 

1 2 

LABEL=SWAP-hda3 

swap 

swap 

defaults 

0 0 

tmpfs 

/dev/shm 

tmpfs 

defaults 

0 0 

devpts 

/dev/pts 

devpts 

gid=5,mode=620 

0 0 

sysfs 

/sys 

sysfs 

defaults 

0 0 

proc 

/proc 

proc 

defaults 

0 0 
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Ext4 utiliza UUID (Urtiversally Unique Identifier o Identificador Universalmente Único) en lugar de etiquetas. El 
UUID se puede determinar ejecutando blkid del siguiente modo: 

blkid /dev/sda7 

Lo cual devolvería algo similar a lo siguiente: 

/dev/sda7: LABEL="/tmp" UUID="238e532b-250c-4a80-87a3-3aecc9715795" TYPE="ext4" 


Con esta información, el archivo /etc/fstab quedaría del siguiente modo: 


LABEL=/ 


/ 

ext4 

defaults 

1 1 

LABEL=/bot 


/boot 

ext4 

defaults 

1 2 

LABEL=/home 


/home 

ext4 

defaults 

1 2 

UUID=238e532b-250c 

-4a80-87a3-3aecc9715795 

/tmp 

ext4 

defaults 

1 2 

LABEL=SWAP-sda3 


swap 

swap 

defaults 

0 0 

tmpfs 

/dev/shm 

tmpfs 

defaults 

0 0 

devpts 

/dev/pts 

devpts 

gid=5,mode=620 

0 0 

sysfs 

/sys 

sysfs 

defaults 

0 0 

proc 

/proc 

proc 

defaults 

0 0 


Monte de nuevo la partición. 


mount /tmp 


Ext3 utiliza una cartografía de mapas de bits. Ext4 se caracteriza por el uso de extents. Para completar el 
procedimiento, hay que migrar los archivos y directorios de la partición para que utilicen extents. Los archivos 
se pueden ir migrando con las subsecuentes escrituras en disco, pero mucho del contenido estático —como 
binarios y bibliotecas compartidas— pueden pasar meses antes de poder ser convertidos. 


Una forma de convertir todo de una vez consiste en ejecutar chattr para afíadir el atributo de extents a todos 
los archivos y directorios de una partición en particular. 


find 

/tmp -xdev -type f 

-printo 

| xargs 

-0 chattr +e 

find 

/tmp -xdev -type d 

-printo 

xargs 

-0 chattr +e 


Desmonte de nuevo la partición. 
umount /tmp 

Con la finalidad de prevenir cualquier problema, vuelva a verificar la partición. 
fsck.ext4 -fyD /dev/sda7 

Para finalizar el procedimiento, monte de nuevo la partición. 
mount /tmp 

21.2.4. Eliminando el registro por diario {journal) de Ext4. 
21.2.4.1. Advertencias. 


210 










Joel Barrios Duenas 


Configuración de Servidores con GNU/Linux 


Este procedimiento aplica exclusivamente a las particiones con formato Ext4. El formato Ext3 carece de 
soporte para funcionar sin registro por diario. 

Eliminar el registro por diario implica perder la tecnología lo que garantiza la integridad de los datos de una 
partición en caso de una interrupción de energía o unafalla general del sistema. Sólo se recomienda eliminar el 
registro por diario en los casos donde se dispone de un sistema operativo estable, un buen respaldo de energía 
—equipos portátiles y ultra-portátiles— y se tienen particiones asignadas a directorios donde la información es 
poco relevante —como /tmp, /var/tmp o /var/cache. Este procedimiento está totalmente contraindicado en 
servidores o bien donde se requiera una garantía absoluta de integridad de datos. 

Hay que considerar además que la mejoría obtenida puede ser apenas perceptible, y, muy probablemente, sólo 
amerite eliminar el registro por diario en particiones en unidades de estado sólido (SSD). 

Es importante también realizar un respaldo de información relevante antes de proceder, por si acaso 
algo saliese mal.. 

21.2.4.2. Procedimientos. 

Asumiendo que se dispone de una partición /dev/sda7, que en el ejemplo corresponde a /tmp, que fue 
previamente convertida a Ext4, utilizando el método descrito en este mismo documento o bien que ya tiene 
formato Ext4, se debe desmontar la partición: 


umount /tmp 


Para eliminar el registro por diario de la partición /dev/sda7 en CentOS 5 o Red Hat™ Enterprise Linux 5, se 
requiere ejecutar tune4fs, de la siguiente forma: 

tune4fs -0 A has_journal /dev/sda7 

Para eliminar el registro por diario de la partición /dev/sda7 en CentOS 6 o Red Hat™ Enterprise Linux 6, se 
requiere ejecutar tune2fs, de la siguiente forma: 

tune2fs -0 rihasjournal /dev/sda7 


El símbolo A (acento circunflejo) significa que se elimina una opción. En este caso la opción eliminada fue 
hasjournal, que es las responsable del registro por diario. 

Sin importar la versión de sistema operativo, se requiere realizar varias modificaciones al sistema de archivos a 
través de ejecutar fsck con las opciones -pDf para reparar automáticamente lo que sea necesario y que 
prescinda de interacción humana, optimizar re-ordenando directorios y forzar verificación. 


fsck.ext4 -pDf /dev/sda7 


Eliminar el registro por diario de una partición ext4 hace que irremediablemente sea imposible leer el UUID de la 
partición, por lo cual invariablemente hay que editar el archivo /etc/fstab y establecer el nombre real del 
dispositivo en lugar del UUID: 
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LABEL=/ 

/ 

ext3 

defaults 

1 1 

LABEL=/boot 

/boot 

ext3 

defaults 

1 2 

/dev/sda7 

/tmp 

ext4 

defaults 

1 2 

tmpfs 

/dev/shm 

tmpfs 

defaults 

0 0 

devpts 

/dev/pts 

devpts 

gid=5,mode=620 

0 0 

sysfs 

/sys 

sysfs 

defaults 

0 0 

proc 

/proc 

proc 

defaults 

0 0 

LABEL=SWAP-hda3 

swap 

swap 

defaults 

0 0 


El procedimiento concluye una vez modificado el archivo /etc/fstab. Vuelva a montar la partición para verificar 
que todo funcione correctamente. 


mount /tmp 


La mejoría será apenas perceptible, pero brindará el máximo rendimiento posible para el sistema de archivos 
Ext4, superando incluso el desempeno en cuanto a velocidad de Ext2. 


En un equipo con una partición /tmp con registro por diario y la misma partición /tmp sin registro por diario, la 
escritura de 1 GB de información demoró lo siguiente: 



real 

0m9.796S 

/tmp con registro por diario 

user 

0m0.444s 


sys 

0m4.441s 


real 

0m8.978S 

/tmp sin registro por diario 

user 

0m0.487 s 


sys 

0m3.811s 


La diferencia puede ser muy poca pero sí significativa. 


En el dado caso que se quiera volver a utilizar el registro por diario, sólo basta con volver a iniciar con el disco 
vivo, abrir una terminal y ejecutar lo siguiente. 

su -1 

umount /home 

tune2fs -0 has_journal /dev/sda7 
fsck -pDf /dev/sda7 
mount /home 


21.3. Bibliografía. 

• http://www.debian-administration.org/articles/643 
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22. Introducción al sistema de archivos XFS. 


Autor: Joel Barrios Duehas 

Correo electrónico: darkshram en gmail punto com 

Sitio de Red: http://www.alcancelibre.org/ 
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22.1. Introducción. 

XFS es un sistema de archivos de 64 bits con registro por diario (journaling ) de alto desempeno y altamente 
escalable creado por SGI (antes Silicon Graphics Inc.) su sistemas operativo IRIX. En mayo de 2000, SGI 
publicó XFS bajo una licencia de código fuente abierto. 

El núcleo de Linux incluye soporte para XFS desde la versión 2.4.25. Desde entonces ha sido incluido en la 
mayoría de las distribuciones de GNU/Linux enfocadas sobre servidores. Es el sistemas de archivos 
predeterminado de CentOS 7 y Red Hat™ Enterprise Linux 7. 

Las principales funciones de XFS incluyen: 

• Registro por diario para metadatos, lo cual permite una recuperación de datos más rápida. 

• El sistema de archivos puede defragmentarse y agrandarse mientras está montado y activo. 

• En el caso de CentOS 7, Red Hat™ Enterprise Linux 7 y distribuciones derivadas de éstos se incluye 
soporte para herramientas de respaldo y restauración específicas de XFS. 

Sito de Internet: http://xfs.org. 

22.2. Equipamiento lógico necesario. 

XFS es el sistema de archivos predeterminado de CentOS 7 y Red Hat™ Enterprise Linux 7, por tanto éstos 
incluyen xfsprogs como paquete obligatorio. 

Otras distribuciones de GNU/Linux que utilizan otro formato de sistema de archivos —como Ext3 y Ext4— 
probablemente requieran ejecutar lo siguiente. 


yum -y install xfsprogs 


22.3. Procedimientos. 

22.3.1. Construir sistema de archivos XFS. 

La herramienta utilizada para dar formato XFS a las particiones es mkfs.xfs. El procedimiento implica eliminar 
todos los datos existentes en dicha partición. La sintaxis mínima sólo requiere definir como argumento la ruta de 
un dispositivo al cual dar formato. Ejemplo: 
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mkfs.xfs /dev/sdfl 


Ejecute lo siguiente para obtener más detalles y descripción de otras opciones: 


man 8 mkfs.xfs 


22.3.2. Montaje de particiones con formato XFS. 

El montaje se realiza igual que con otros sistemas de archivos ejecutando mount y usando como argumentos 
para éste la ruta del dispositivo de la partición y el directorio a utilizar como punto de montaje. Ejemplo: 


mount /dev/sdfl /mnt/xfs 


De modo predeterminado XFS utiliza la opción relatime para reducir los ciclos de escritura innecesarios sobre 
el sistema de archivos. XFS utiliza las mejores opciones disponibles para optimizar el rendimiento del sistema 
de archivos. Se recomienda dejar todo con valores predeterminados, es decir sólo utilizar las opciones 
predeterminadas. 

22.3.3. Agrandar el sistema de archivos. 

XFS dispone de una herramienta para agrandar el sistema de archivos denominada xfs_growfs. Funciona de 
modo similar a como resize2fs lo hace para Ext3/Ext4. 

Si se utiliza xfs_growfs sin más argumentos que la ruta del dispositivo correspondiente a la partición a 
agrandar, se asignará el máximo del tarnaho disponible en la unidad de almacenamiento o volumen lógico. 
Ejemplo: 


xfs_growfs /dev/sdfl 


Se pude utilizar la opción -D para indicar la cantidad de bloques a utilizar para crecer el sistema de archivos. 
Ejemplo: 


xfs_growfs 1048576 -D /dev/sdfl 


El sistema de archivos se puede hacer crecer con la partición activa y montada. 

Cabe senalar que XFS carece de soporte para reducir el tamano del sistema de archivos. La única forma de 
poder reducir un sistema de archivos XFS sería respaldar éste con xfsdump, volver a formatear con mkfs.xfs 
y restaurar con xfsrestore. 

Ejecute lo siguiente para obtener más detalles y descripción de otras opciones: 


man 8 xfs_growfs 


22.3.4. Reparar sistema de archivos. 

Para poder verificar el sistema de archivos es importante recordar que éste debe estar inactivo y sin montar. 

La reparación del sistema de archivos se debe realizar ejecutando xfs_repair con la ruta del dispositivo a 
verificar como argumento. Ejemplo: 
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xfs_repair /dev/sdfl 

Si se trata de un caso donde el sistema inicia en modo de sólo lectura y se requiere reparar sistema de 
archivos, puede utilizarse xfs_repair con la opción -d. Ejemplo: 

xfs_repair -d /dev/sdfl 


Cabe sehalar que xfs_repair carece de capacidad para verificar bloques danados. Los desarrolladores de XFS 
asumieron que era innecesario anadir el soporte pues se esperaba que la detección de bloques danados se 
hiciera automáticamente en la unidad de almacenamiento, como ocurre con las unidades SCSI/SAS. 

Ejecute lo siguiente para obtener más detalles y descripción de otras opciones: 


man 8 xfs_repair 


Si lo considera necesario, para verificar los bloques danados se puede ejecutar badblocks utilizando la ruta del 
dispositivo a reparar como argumento. Ejemplo: 

badblocks /dev/sdfl 

Puede ejecutar lo anterior pero anadiendo la opción -n si requiere hacer una verificación de lectura y escritura 
no-destructiva. Ejemplo: 

badblocks -n /dev/sdfl 

Ejecute lo siguiente para obtener más detalles y descripción de otras opciones: 
man 8 badblocks 


Cabe senalar que tanto fsck como fsck.xfs serán incapaces de realizar las funciones de xfs_repair. 

22.3.5. Defragmentación de sistema de archivos. 

Xfs_fsr puede mejorar la organización de los sistemas de archivos. El algoritmo utilizado para reorganizar 
opera archivo por archivo, compactando o mejorando la disposición de las zonas de datos — extents —, las 
cuales consisten de bloques contiguos de datos de archivos. 

La defragmentación se puede realizar con toda seguridad con el sistema de archivos activo y montado. Se 
utiliza la herramienta xfs_fsr con la ruta del dispositivo de la partición deseada como argumento. Ejemplo: 


xfs_fsr /dev/sdfl 


22.3.6. Respaldo y restauración de sistema de archivos. 

Al igual que Ext3/Ext4 disponen de dump y restore, XFS dispone de xfsdump y xfsrestore. Ambas están 
disenadas para funcionar específicamente con unidades de cinta. 

Ejecute lo siguiente para realizar el respaldo completo (-1 0) de /cualquier/ruta en una unidad de cinta /dev/stO: 

xfsdump -1 0 -f /dev/st0 -L session_201503192130 -M respaldo_l /cualquier/ruta 
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Ejecute lo siguiente para realizar un primer respaldo incremental de /cualquier/ruta: 

xfsdump -1 1 -f /dev/st0 -L session_201503192230 -M respaldo_l /cualquier/ruta 
Ejecute lo siguiente para realizar un segundo respaldo incremental de /cualquier/ruta: 

xfsdump -1 1 -f /dev/st0 -L session_201503192330 -M respaldo_l /cualquier/ruta 

Ejecute lo siguiente para obtener más detalles y descripción de otras opciones: 
man 8 xfsdump 

Ejecute lo siguiente para restaurar el respaldo desde el nivel 0 hasta los últimos respaldos incrementales: 

xfsrestore -r -f /dev/st0 /cualquier/ruta 
Ejecute lo siguiente para listar los respaldos disponibles: 
xfsrestore -I 

Ejecute lo siguiente para restaurar específicamente los datos del respaldo 0 que se hizo con la etiqueta 
session_201503192130: 

xfsrestore -L session_201503192130 -f /dev/st0 /cualquier/ruta 

Ejecute lo siguiente para restaurar específicamente los datos acumulados hasta el primer respaldo incremental, 
el cual tendría la etiqueta session_201503192230: 

xfsrestore -L session_201503192230 -f /dev/st0 /cualquier/ruta 

Ejecute lo siguiente para obtener más detalles y descripción de otras opciones: 
man 8 xfsrestore 

22.3.7. Cuotas de sistema de archivos en XFS. 

El soporte para cuotas de sistema de archivos se hace similar a como se realiza con Ext4. Edite el archivo 
/etc/fstab: 

vi /etc/fstab 

Encontrará un contenido similar al siguiente. 
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# 

# /etc/fstab 

# Created by anaconda on Wed Aug 13 17:30:34 2014 

# 

# Accessible filesystems, by reference, are maintained under ’/dev/disk' 

# See man pages fstab(5), findfs(8), mount(8) and/or blkid(8) for more info 

# 

/dev/mapper/lv-root / xfs defaults 1 1 

UUID=9b9d6414-bc25-4640-9b6a-69028a3d3003 /boot xfs defaults 1 2 
/dev/mapper/lv-home /home xfs defaults 1 2 

/dev/mapper/lv-swap swap swap defaults 0 0 


Afiada sólo las opciones usrquota y grpquota a las opciones de la partición donde se requiera anadir soporte 
de cuotas de sistema de archivos: 


# 

# /etc/fstab 

# Created by anaconda on Wed Aug 13 17:30:34 2014 

# 

# Accessible filesystems, by reference, are maintained under '/dev/disk' 

# See man pages fstab(5), findfs(8), mount(8) and/or blkid(8) for more info 

# 

/dev/mapper/lv-root / xfs defaults 1 1 

UUID=9b9d6414-bc25-4640-9b6a-69028a3d3003 /boot xfs defaults 1 2 
/dev/mapper/lv-home /home xfs defaults, usrquota, grpquota 1 2 

/dev/mapper/lv-swap swap swap defaults 0 0 


Guarde el archivo y salga del editor de texto. 


A diferencia de Ext3/Ext4, la opción quota sólo se puede aplicar desde el montaje inicial. Por tanto ejecutar 
«mount -o remount» carecerá de efecto. Por tanto, para aplicar cambios es necesario desmontar y volver a 
montar las particiones configuradas o bien reiniciar el sistema en caso de tratarse de particiones en uso. 


Aplique los cambios del ejemplo anterior desmontando y volviendo a montar la partición o volumen lógico: 

umount /home && mount /home 
Active el soporte para cuotas de sistema de archivos. 
quotaon /home 

Ejecutar quotacheck — requerido para cuotas con Ext3/Ext4— carece de efecto debido a que Xfs realiza esta 
misma función de manera interna durante el montaje inicial. 

A partir de este punto la gestión de cuotas de sistema de archivo puede realizarse a través de edquota como 
se describe en el documento titulado «Asignación de cuotas en el sistema de archivos». 
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23.1. Introducción. 

LUKS (Linux Unified Key Setup-on-disk-format) es una implementación muy sencilla de utilizar para la gestión 
de particiones y unidades de almacenamiento cifradas en GNU/Linux. Se recomienda su uso en dispositivos 
móviles, computadoras portátiles y dispositivos de almacenamiento cuya información se desee proteger en 
caso de extravío o robo. 

Las particiones o unidades de almacenamiento externo cifradas con LUKS, pueden ser utilizadas desde 
Windows utilizando FreeOTFE. 

Este documento describe los procedimientos para cifrar una partición de disco duro, asignada al punto de 
montaje /datos. Cabe senalar que el procedimiento hará que todos los datos de esta partición se 
pierdan. Si la partición contiene datos de algún tipo, se debe respaldar todo antes de proceder y verificar que el 
respaldo esté completo e integro, para luego restaurar estos datos después de terminar el procedimiento. 

23.2. Equipamiento lógico necesario. 

23.2.1. En CentOS, Fedora y Red Hat Enterprise Linux. 

Por lo general el paquete cryptsetup-luks viene instalado de manera predeterminada. Puede instalar el 
paquete correspondiente ejecutando lo siguiente: 


yum -y install cryptsetup-luks 


23.2.2. En openSUSE™ y SUSE™ Linux Enterprise. 

Por lo general el paquete cryptsetup viene instalado de manera predeterminada. Puede instalar el paquete 
correspondiente ejecutando lo siguiente: 

yast -i cryptsetup 


23.3. Procedimientos. 

A fin de evitar contratiempos, conviene realizar todos los procedimientos desde el nivel de ejecución 1 (mono 
usuario). Como root ejecute: 


init 1 
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Antes de proceder, es muy importante cerciorarse de qué dispositivo se va a utilizar para el procedimiento. De 
ser necesario y sí acaso estuviese montada, ejecute df para determinar que dispositivo corresponde a la 
partición que se desea cifrar. 


df -h 


Respalde todos los datos de la partición que necesite cifrar. Copie o mueva, los datos hacia otro dispositivo de 
almacenamiento. El procedimiento eliminará, de manera inevitable, todo el contenido actual de dicha 
partición. 


mkdir -p /var/respaldo/datos/ 

tar cpf /var/respaldo/datos.tar /datos/ 


Antes de continuar será una buena idea que verifique y compruebe que el respaldo es confiable. 

23.3.1. Cifrado de una partición existente en CentOS, Fedora™ y Red Hat™ Enterprise 
Linux. 

El algoritmo de ciframiento utilizado de modo predeterminado por LUKS es aes-cbc-essiv:sha256 y el tarnano 
de la firma es de 256 bits. El algoritmo de ciframiento utilizado por Anaconda —el programa de instalación de 
CentOS, Fedora™ y Red Flat™ Enterprise Linux— para LUKS es aes-xts-plain64 y el tamano de la firma es 
de 512 bits —es decir se utilizan las opciones -cipher con el valor aes-xts-plain64:sha512 y -key-size con el 
valor 512. 

Salvo que se realice el procedimiento desde la instalación del sistema operativo —donde sólo se requiere 
habilitar la casilla de Cifrar partición— estas distribuciones carecen de una herramienta para hacer el 
procedimiento fácil. Es necesario hacer uso del intérprete de mandatos. 

Una vez hecho el respaldo y que haya verificado que el respaldo es confiable, desmonte la partición que se 
pretende cifrar: 


umount /datos 


El siguiente paso es opcional, pero se recomienda llevarlo a cabo, pues mejora el cifrado al llenar previamente 
la partición con datos aleatorios. Debe tomarse en consideración que &mdahs;dependiendo del tarnano de la 
partición— ésto puede demorar varias horas o incluso días. 


dd if=/dev/urandom of=/dev/sdaX bs=4096 


La partición a utilizar se debe preparar ejecutando cryptsetup, con las opciones -verbose (para obtener una 
salida más descriptiva en caso de problemas), -verify-passphase (para asignar una frase de acceso o bien 
una contrasena), luksFormat para dar formato en LUKS y el nombre del dispositivo. 


cryptsetup --verbose --verify-passphrase luksFormat /dev/sdaX 


Lo anterior requerirá responder explícitamente con YES, en mayúsculas, que se desea proceder y que se está 
consciente que se perderán todos los datos actuales de la partición. A continuación, se pulsa la tecla ENTER y 
se ingresa la nueva frase o bien la nueva contrasena, que se pretenda asignar. 

Una vez realizado lo anterior y para poder hacer uso de la nueva partición cifrada, ejecute cryptsetup con la 
opción luksOpen, indicando el dispositivo que corresponde a la partición que se acaba de cifrar y el nombre 
que se quiera asignar a ésta en el planificador de dispositivos (device mapper). 
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cryptsetup luksOpen /dev/sdaX datos 
Lo anterior crea un nuevo dispositivo denominado /dev/mapper/datos. 

Para que el sistema operativo pueda utilizarlo, este nuevo dispositivo requiere ser formateado. En el siguiente 
ejemplo se da formato en ext4 a /dev/mapper/datos: 

mkfs.ext4 /dev/mapper/datos 

A fin de que el sistema solicite automáticamente la frase de acceso o bien la contrasena, al volver iniciar el 
sistema, se crea o edita el archivo /etc/crypttab: 

vim /etc/crypttab 

Dentro de éste se define en el primer campo el nombre que se quiera utilizar para el planificador de dispositivos 
(device mapper ), en el segundo campo se define el nombre del dispositivo que se cifró y en el tercer campo se 
define none. De manera opcional, aunque poco recomendado, se puede especificar la frase de acceso o bien 
la contrasena o bien un archivo que contenga ésta, en lugar de none para que el sistema inicie sin necesidad 
de que el administrador ingrese la frase de acceso o bien la contrasena. 

datos /dev/sdaX none 

Edite el archivo /etc/fstab: 

vim /etc/fstab 

Anada lo siguiente o bien se reemplaza el nombre del dispositivo anterior (UUID=xxxxxxxxxxxx, /dev/sdaX o 
LABEL=/datos, dependiendo de la versión del sistema operativo) —como /dev/mapper/datos— para que el 
sistema operativo utilice automáticamente el dispositivo con el siguiente reinicio: 

/dev/mapper/datos /datos ext4 defaults,noatime,nodiratime 1 2 

Ejecute lo siguiente para montar la partición cifrada: 

mount /datos 

Restaure los datos que respaldó previamente. 

tar xvf /var/respaldo/datos.tar -C / 

Restaure los atributos y contextos de SELinux del directorio involucrado. 

restorecon -R /datos 
Desmonte la partición: 

umount /datos 

Desconecte el dispositivo ejecutando cryptsetup, con la opción luksClose y el nombre del dispositivo, de 
acuerdo a como lo vea el planificador de dispositivos: 
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cryptsetup luksClose /dev/mapper/datos 


El archivo initramfs de ALDOS, CentOS, Fedora™ y Red Hat™ Enterprise Linux ya incluye los módulos para 
cifrado con LUKS y el mapa de dispositivos. Si lo considera pertinente o bien porque el sistema esté utilizando 
un archivo initramfs distinto al que originalmente venía con el paquete kernel, puede regenerar la imagen de 
disco RAM que utiliza el núcleo del sistema para cargar los controladores necesarios, ejecutando dracut con la 
opción -f para forzar la operación y el archivo del archivo initramfs correspondiente como argumento, la versión 
del núcleo utilizado, la opción -a para anadir módulos de dracut y los nombres de los módulos dm y crypt como 
argumentos. El siguiente ejemplo detecta automáticamente el nombre del archivo initramfs y la versión del 
núcleo que corresponda: 

dracut -f /boot/initramfs-'uname -r'.img 'uname -r' -a dm crypt 


Reinicie el sistema. En adelante, para poder iniciar el sistema y así acceder a la partición cifrada, se solicitará la 
contrasena o frase de acceso definida durante el procedimiento. 

23.3.2. Cifrado de una partición existente en openSUSE™ y SUSE™ Linux Enterprise. 

El algoritmo de ciframiento utilizado de modo predeterminado por LUKS es aes-cbc-essiv:sha256 y el tamaho 
de la firma es de 256 bits. 

Realice un respaldo de toda la información contenida en la partición que se quiera cifrar. Recuerde que el 
procedimiento requiere destruir toda la información existente en dicha partición. 

Ejecute yast con disk como argumento para utilizar el módulo de YaST para gestión de discos y particiones. 
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El sistema le advertirá que sólo se debe utilizar este módulo de YaST si se entiende perfectamente el concepto 
de particiones. Responda Yes o Si. Sólo siga las siguientes instrucciones. El ejemplo descrito a continuación 
considera que se tiene una partición /dev/sdbl y que actualmente se utiliza con el directorio /datos como punto 
de montaje. 

Use la tecla TAB hasta seleccionar la partición que requiera cifrar. 



Pulse la 

Editar. 


tecla ENTER. Aparecerá un resumen informativo de la partición seleccionada. Seleccione Edit o 
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Aparecerán las opciones que se pueden aplicar a la partición. 



Seleccione las casillas de las opciones Format partition (o bien Formatear partición) y Encrypt partition (o 
bien Cifrar partición). 
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Utilice la tecla TAB y defina una buena contraseha con confirmación. Recuerde que si olvida o extravía esta 
contrasena, la información será irrecuperable. Al terminar, utilice la tecla TAB para seleccionar Finish o 
Finalizar y pulse la tecla ENTER. 
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Regresará a la pantalla con el resumen de la partición seleccionada. Use la tecla TAB para seleccionar Next o 
Siguiente y pulse la tecla ENTER. 



Se mostrará una pantalla con el resumen de los procedimientos que realizará YaST. Use la tecla TAB para 
seleccionar Finish o Finalizar y pulse la tecla ENTER o bien sólo pulse la tecla FIO. 
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El sistema realizará todos los procedimientos y cambios necesarios en el sistema indicando el avance de éstos 
con barras de progreso. 



Al terminar, YaST finalizará y lo devolverá al intérprete de mandatos. 
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www. alcancelibre . org 


Hnux-%tl:" ■ 


YaST se encarga de generar automáticamente la imagen de disco RAM utilizada por el núcleo del sistema para 
cargar los controladores necesarios y a fin de anadir el soporte necesario para gestor de dispositivos. 

Reinicie el sistema ejecutando reboot: 
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Se hará una pausa con un diálogo para solicitar la contrasena necesaria para poder desbloquear el dispositivo 
cifrado cuando inicie de nuevo el sistema. 


(fCI :3»ttz:3Z-bit) (Hì 00 27: hf 65; 10 
lntcl(ll) rm' UJUO ftct*«>rk Connrttiun 
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ort:c iitldr Oxaddr 
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13.7555031 IntcI IOI (MMIO IMJ 05.0 PCI IWT ft > C3I 21 (le 
11 0815021 MET Rci|istcrtrd pmtucnl f<uilly 10 
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11 ItMJTSl Intrlflat) nrasurr ac97 clock neASJired 55135 nstcs ( 121*^ v **i>lcft) 
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11 ÍM16651 intclB*0: clocking tu ItMMMJ 
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Enter LUKS pas.sphrase: 


done 

done 


done 


El sistema deberá continuar el inicio de manera normal luego de ingresar la contrasena. 

Restaure los datos correspondientes a partir del respaldo que debió realizar previamente. 

23.3.3. Cifrado de una unidad de almacenamiento externo USB. 

El procedimiento asume que ya se ha realizado un respaldo de los datos de la unidad de almacenamiento 
externo USB, pues el procedimiento implica la destrucción de los datos existentes en ésta. 

Conecte el dispositivo USB y ejecute dmesg del siguiente modo para determinar que partición que corresponda 
al dispositivo. 

dmesg |grep sd 


Lo anterior debe devolver algo similar a lo siguiente. 


[ 1368.902764] 
[ 1368.904999] 
[ 1368.906562] 
[ 1368.906572] 
[ 1368.907176] 
[ 1368.907183] 
[ 1368.910295] 
[ 1368.910303] 
[ 1369.174678] 
[ 1369.182877] 
[ 1369.182886] 
[ 1369.182892] 


sd 6:0:0:0: Attached scsi generic sg2 type 0 

sd 6:0:0:0: [sdb] 4122624 512-byte logical blocks: (2.11 GB/1.96 GiB) 
sd 6:0:0:0: [sdb] Write Protect is off 
sd 6:0:0:0: [sdb] Mode Sense: 03 00 00 00 
sd 6:0:0:0: [sdb] No Caching mode page present 
sd 6:0:0:0: [sdb] Assuming drive cache: write through 
sd 6:0:0:0: [sdb] No Caching mode page present 
sd 6:0:0:0: [sdb] Assuming drive cache: write through 
sdb: sdbl 

sd 6:0:0:0: [sdb] No Caching mode page present 
sd 6:0:0:0: [sdb] Assuming drive cache: write through 
sd 6:0:0:0: [sdb] Attached SCSI removable disk 
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Si el sistema realizó el montaje automático de la unidad de almacenamiento externo, determine el punto de 
montaje y dispositivo asignado ejecutando df sin argumentos. 


df 


Asumiendo que el sistema asignó el directorio /media/MI-USB como punto de montaje, desmonte la unidad 
ejecutando lo siguiente: 


umount /media/MI-USB 


Asumiendo que la partición de la unidad de almacenamiento externo corresponde al dispositivo /dev/sdbl, 
ejecute cryptsetup, con las opciones --verbose (para obtener una salida más descriptiva en caso de 
problemas), --verify-passphase (para asignar una frase de acceso o bien una contrasena), luksFormat para 
dar formato en LUKS y el nombre del dispositivo. 


cryptsetup --verbose --verify-passphrase luksFormat /dev/sdbl 


Lo anterior requerirá responder explícitamente con YES, en mayúsculas, que se desea proceder y que se está 
consciente que se perderán todos los datos actuales de la partición. A continuación, se pulsa la tecla ENTER y 
se ingresa la nueva frase o bien la nueva contrasena, que se pretenda asignar. 

Una vez realizado lo anterior, para poder hacer uso de la nueva partición cifrada en la unidad de 
almacenamiento externo USB, ejecute cryptsetup con la opción luksOpen, indicando el dispositivo que 
corresponde a la partición que se acaba de cifrar y el nombre que se quiera asignar a ésta en el planificador de 
dispositivos (device mapper). 


cryptsetup luksOpen /dev/sdbl MI-USB 


Lo anterior crea un nuevo dispositivo denominado /dev/mapper/MI-USB. 

Para que el sistema operativo pueda utilizarlo, este nuevo dispositivo requiere un formato que pueda ser 
utilizado en cualquier sistema operativo. En el siguiente ejemplo se da formato en FAT32 a /dev/mapper/MI- 
USB: 


mkfs.vfat /dev/mapper/MI-USB 

Monte la partición de la unidad de almacenamiento externo en /media/MI-USB: 

mkdir /media/MI-USB 

mount /dev/mapper/MI-USB /media/MI-USB 

Restaure o copie los datos que requiera utilizar en esta unidad de almacenamiento. 
Desmonte la unidad. 

umount /media/MI-USB 

Desconecte el dispositivo cifrado: 

cryptsetup luksClose /dev/mapper/MI-USB 
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Para utilizar en lo sucesivo la unidad de almacenamiento externo USB desde modo terminal, sin escritorio 
activo, se sigue el siguiente procedimiento: 


mkdir /mnt/mi-usb 

cryptsetup luksOpen /dev/sdbl mi-usb 
mount /dev/mapper/mi-usb /mnt/mi-usb 


Para utilizar la unidad de almacenamiento externo USB cifrada con LUKS desde el escritorio de GNOME o 
KDE, se inserta ésta en cualquier puerto USB, dejando que el administrador de archivos se encargue de 
gestionar lo necesario y mostrar el dialogo para ingresar la clave o frase de acceso necesaria. 

Para utilizar la unidad de almacenamiento externo USB cifrada con LUKS desde el escritorio Windows, sólo hay 
que instalar FreeOTFE, insertar la unidad a cualquier puerto USB, permitiendo que FreeOTFE se encargue de 
gestionar lo necesario y mostrar el dialogo para ingresar la clave o frase de acceso necesaria. Sin FreeOTFE, 
Windows solo vería una unidad de almacenamiento externo USB sin formato, mostrando un dialogo para dar 
formato a ésta. 
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24.1. Introducción. 

24.1.1. Historia. 

Sudo fue inicialmente concebido en 1980 por Bob Coggeshall y Cliff Spencer del Departamento de Ciencia 
Computacional en SUNY (State University of New York o Universidad Estatal de Nueva York), en Buffalo. 

En 1985 se publicó una versión mejorada acreditada a Phil Betchel, Cliff Spencer, Gretchen Phillips, John 
LoVerso y Don Gworek en el grupo de noticias net.sources. Garth Snyder publicó otra versión mejorada en el 
verano de 1986 y durante los siguientes cinco anos fue mantenido con la colaboración de muchas personas, 
incluyendo Bob Coggeshall, Bob Manchek y Trent Hein. 

Dave Hieb y Jeff Nieusma escribieron en 1991 una versión mejorada del formato para el archivo /etc/sudoers, 
bajo contrato con la firma consultora The Root Group, versión que posteriormente fue publicada bajo los 
términos de la Licencia Pública General de GNU (GNU/GPL). 

Desde 1996 el proyecto es mantenido activamente por Todd Miller, con la colaboración de Chris Jepeway y 
Aaron Spangler y actualmente se distribuye bajo los términos de una licencia tipo BSD. 

24.1.2. tQué es sudo? 

Sudo (Superuser Do) es una herramienta de sistema que permite a los usuarios realizar la ejecución como 
super-usuario u otro usuario de acuerdo a como se especifique en el archivo /etc/sudoers, donde se determina 
quien está autorizado. Los números de identidad de usuario y de grupo (UID y GID) reales y efectivas se 
establecen para igualar a aquellas del usuario objetivo como esté especificado en el archivo /etc/passwd. 

Por seguridad de modo predeterminado sudo requiere que los usuarios regulares autorizados se autentiquen 
usando su propia contrasena nunca con la de root. También es obligatorio el acceso desde una terminal (TTY) 
para poder ejecutar sudo y si un usuario sin autorización lo ejecuta, se registrará la actividad en la bitácora de 
sistema (a través de syslogd) y se enviará un mensaje de correo electrónico al administrador del sistema 
(root). 

El manual de información del formato del archivo /etc/sudoers se puede consultar ejecutando lo siguiente: 


man 5 sudoers 


El manual de información de sudo se puede consultar ejecutando lo siguiente: 


man 8 sudo 
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El manual de información de visudo se puede consultar ejecutando lo siguiente: 


man 8 visudo 


24.2. Equipamiento lógico necesario. 

24.2.1. Instalación en CentOS, Fedora™ y Red Hat™ Enterprise Linux. 

Ejecute lo siguiente para instalar el paquete sudo: 
yum -y install sudo 


24.2.2. Instalación en openSUSE™ y SUSE™ Linux Enterprise. 

Ejecute lo siguiente para instalar el paquete sudo: 
yast -i sudo 


Existe un módulo de sudo para YaST, pero tiene un soporte muy limitado en cuanto a funciones. Permite editar 
usuarios, crear y administrar las listas de control de acceso, pero carece de soporte para funciones como 
NOEXEC en las reglas de control de acceso y negaciones dentro de las listas de control de acceso. 



Módulo sudo de YaST, en modo texto. 


Ejecute lo siguiente para instalar el módulo sudo para YaST: 


yast -i yast2-sudo 
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24.3. Archivo /etc/sudoers 

El archivo /etc/sudoers se edita con visudo, herramienta que a través de vi permite realizar cambios y verificar 
sintaxis y errores. Si se intenta modificar directamente /etc/sudoers, éste tendrá permisos de sólo lectura. 

La sintaxis básica de una lista de control de acceso sería: 


XXXX_Alias NOMBRELISTA = elementol, elemento2, elemento3 


La sintaxis básica de una regla de control de acceso sería: 

[usuario, %grupo, NOMBRELISTA] [anfitrión] = (id de usuario a usar) programas 


Se pueden definir Aliases y reglas. Los aliases permiten definir listas de programas, listas de usuarios, listas de 
anfitriones o bien listas de identidades de usuarios para ejecutar programas. 

24.3.1. Cmnd_Alias. 

Se utiliza para definir listas de programas a utilizar con sudo y/o excluir su ejecución con sudo. Ejemplo: 


CmndAlias PR0GRAMAS4 = /usr/bin/systemctl httpd reload, /usr/bin/vim 
/etc/httpd/conf.d/variables.conf, /usr/bin/vim /etc/php.ini 


Lo anterior define una lista de programas que podrían utilizarse para hacer que el servicio httpd vuelva a leer 
su configuración, modificar los archivo /etc/httpd/conf.d/variables.conf y /etc/php.ini. 


fulano ALL = PR0GRAMAS4 


Lo anterior define que el usuario fulano puede ejecutar los programas de la lista PROGRAMAS4 desde 
cualquier anfitrión. 

También se pueden definir programas prohibidos junto con programas permitidos. Por ejemplo: 

Cmndalias ALTACUENTAS = /usr/sbin/useradd, /usr/bin/passwd *, !/usr/bin/passwd root 
fulano ALL = (ALL) ALTACUENTAS 


Lo anterior define que fulano puede ejecutar useradd con cualquier opción y argumentos y ejecutar passwd 
con cualquier argumento, pero tendrá prohibido ejecutar éste utilizando root como argumento, es decir tendrá 
prohibido cambiar la contrasena de root. 

En el siguiente ejemplo, el usuario fulano podría utilizar virtualmente cualquier programa del sistema, excepto 
passwd con root como argumento y ejecutar bash, userdel, usermod y su. 


Cmndalias PROHIBIDOS = 

!/bin/su, !/bin/bash, !/usr/sbin/usermod, !/usr/sbin/userdel, !/usr/bin/passwd root 
fulano ALL = (ALL) ALL, PROHIBIDOS 


24.3.2. User_Alias. 
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Se utiliza para definir listas de usuarios y/o grupos que podrán utilizar sudo y/o aquellos que tendrán prohibido 
utilizarlo. Ejemplo: 

User_Alias WEBADMINS = fulano, mengano, zutano 

Lo anterior define una lista denominada VVEBADMINS, integrada por los usuarios fulano, mengano y zutano. 

WEBADMINS ALL = /usr/bin/vim 

La regla anterior define que los usuarios que conforman la lista VVEBADMINS pueden ejecutar vim desde 
cualquier anfitrión. 

También es posible definir grupos a los cuales pertenecen los usuarios del sistema. Ejemplo: 

User„Alias ADMINS = %wheel, îpepe 

Lo anterior define una lista denominada ADMINS, integrada por los usuarios que pertenezcan al grupo de 
sistema denominado wheel, excluyendo el usuario denominado pepe. 

ADMINS ALL = /usr/bin/vim 

La regla anterior define que los usuarios que conforman la lista ADMINS, es decir todos los miembros del grupo 
de sistena denominado wheel, excepto el usuario denominado pepe, pueden ejecutar vim desde cualquier 
anfitrión. 

24.3.3. Host_Alias. 

Se utiliza para definir listas de anfitriones desde los cuales se tendrá permitido utilizar sudo o bien desde los 
cuales se tendrá prohibido utilizarlo. Ejemplo: 

HostAlias WEBH0STS = 192.168.70.25, 192.168.70.26, 192.168.70.23 

Lo anterior define que la lista VVEBHOSTS está integrada por las 3 direcciones IP listadas anteriormente. Si 
además se anade la siguiente regla: 

WEBADMINS WEBHOSTS = ADMINHTTPD 

Lo anterior define que los usuarios de la lista VVEBADMINS pueden utilizar los programas listados en 
ADMINHTTPD solamente si están conectados desde las direcciones IP listadas en VVEBHOSTS. 

24.3.4. Runas_Alias. 

Se utiliza para definir listas de identidades permitidas para utilizar sudo o bien aquellas que estarán prohibido 
utilizar. Ejemplo: 

Si por ejemplo se quisiera que los usuarios de la lista VVEBADMINS pudieran además ejecutar Is, rm, chmod, 
cp, mv, mkdir, touch y vim como el usuarios juan, pedro y hugo, se requiere definir una lista para estos 
programas y otra para los aliases de usuarios alternos y la regla correspondiente. 
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UserAlias WEBADMINS = fulano, mengano, zutano 
Runas Alias WEBUSERS1 = juan, pedro, hugo 

CmndAlias PROGRAMASl = /bin/ls, /bin/rm, /usr/bin/chmod, /bin/cp, /bin/mv, /bin/mkdir, 
/bin/touch, /usr/bin/passwd [A-z]*, !/usr/bin/passwd root 

WEBADMINS WEBH0STS = (WEBUSERS1) PR0GRAMAS3 


Lo anterior permite a los usuarios definidos en WEBADMINS ( es decir fulano, mengano y zutano), utilizar los 
programas definidos en PROGRAMASl (es decir podrán utilizar Is, rm, chmod, cp, mv, mkdir, touch, vim y 
passvvd, pero para el este último estará prohibido cambiar la contraseha de root), identificándose como los 
usuarios definidos en la lista WEBUSERS1 (juan, pedro y hugo), sólo si sudo se ejecuta desde los anfitriones 
con las direcciones IP listadas en WEBHOSTS (192.168.70.25, 192.168.70.26, 192.168.70.23). 

Al momento de establecer las reglas, es posible especificar el permiso de ejecución de ciertos programas con 
uno o más usuarios y el de otros programas con otros usuarios distintos. 


UserAlias WEBADMINS = fulano, mengano, zutano 
Runas Alias WEBUSERS1 = juan, pedro, hugo 
Runas Alias WEBUSERS2 = mario, beto, paco 

CmndAlias PR0GRAMAS1 = /bin/ls, /bin/rm, /usr/bin/chmod, /bin/cp, /bin/mv, /bin/mkdir, 
/bin/touch, /usr/bin/passwd [A-z]*, !/usr/bin/passwd root 

CmndAlias PR0GRAMAS2 = /usr/bin/vim, /bin/cat, /usr/bin/less 

WEBADMINS WEBH0STS = (WEBUSERS1) PR0GRAMAS1 (WEBUSERS2) PR0GRAMAS1 


Lo anterior establece que los miembros de la lista WEBADMINS (fulano, mengano y zutano) pueden ejecutar 
desde lo anfitriones definidos en WEBHOSTS los programas definidos en la lista PROGRAMASl, pero sólo 
adoptando las identidades de juan, pedro y hugo y los programas definidos en la lista PROGRAMAS2, pero 
sólo pueden ser ejecutados adoptando las identidades de mario, beto y paco. 

Basado sobre el ejemplo anterior, estaría permitido ejecutar algo como lo siguiente: 


sudo -u juan mkdir /home/juan/public_html/images 


Pero estaría prohibido ejecutar lo siguiente, porque sólo se permite ejecutar /bin/cp con las identidades juan, 
pedro y hugo: 

sudo -u mario cp -r /home/mario/public_html/images2/* /home/mario/public_html/images2/ 

24.4. Candados de seguridad. 

Algunos programas, como el caso de less, vi, vim y more, permiten ejecutar otros programas desde el 
intérprete de mandatos —lo que se conoce como Shell Escape o escape al intérprete de mandatos. En estos 
casos se puede utilizar NOEXEC para impedir que algunos programas permitan la ejecución de otros 
programas con privilegios. Ejemplo: 


fulano ALL = (ALL) ALL NOEXEC: /bin/vi, /usr/bin/less, /usr/bin/vim, /bin/more 
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Lo anterior permitiría al usuario fulano poder editar o visualizar con privilegios cualquier archivo del sistema 
ejecutando vim y more, pero deshabilita la posibilidad de poder ejecutar otros programas con privilegios desde 
el escape al intérprete de mandatos de vim. 

Es importante senalar que sudo incluye varios candados de seguridad (predeterminados) que impiden se 
puedan realizar tareas peligrosas, como redirigir la salida estándar de la ejecución de un programa (STDOUT) 
hacia archivos fuera del directorio de inicio del usuario utilizado. 

Si se define en el archivo /etc/sudoers que un usuario puede ejecutar con privilegios /usr/bin/vim, es decir 
algo como lo siguiente: 

fulano ALL = (ALL) /bin/echo, NOEXEC: /bin/vi, /usr/bin/vim, /bin/more, /usr/bin/less 
Sudo permitirá que el usuario regular definido pueda ejecutar /usr/bin/vim de los siguientes modos: 


sudo /usr/bin/vim 
sudo vim 


Pero se impedirá ejecutar vim del siguiente modo: 


cd /usr/bin 
sudo ,/vim 


Si, por ejemplo se define en el archivo /etc/sudoers que un usuario puede ejecutar con privilegios /bin/echo, 
es decir algo como lo siguiente: 

fulano ALL = (ALL) /bin/echo, NOEXEC: /bin/vi, /usr/bin/vim, /bin/more, /usr/bin/less 

El usuario sólo podrá ejecutar echo de los siguientes modos, asumiendo que se trata del usuario fulano: 

sudo /bin/echo "Hola" > /home/fulano/prueba.txt 
sudo echo "Hola" > /home/fulano/prueba.txt 

Sin embargo, sudo impedirá a los usuarios regulares redirigir la salida estándar hacia archivos fuera de sus 
propios directorios de inicio, como por ejemplo al ejecutar algo como lo siguiente: 

sudo echo "Hola" > /etc/prueba.txt 

Para poder realizar la operación anterior, se tendría que ejecutar: 

sudo bash -c "echo 'Hola' > /etc/prueba.txt" 

Para impedir lo anterior, habría que prohibir en el archivo /etc/sudoers el uso de /bin/bash, como se muestra en 
el siguiente ejemplo: 

fulano ALL = (ALL) ALL, !/bin/su, !/bin/bash !/usr/bin/sudo, !/usr/bin/visudo, NOEXEC: 

/bin/vi, /usr/bin/vim, /bin/more, /usr/bin/less 
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Sudo permitirá realizar una tarea con privilegios sobre cualquier archivo dentro de cualquier directorio, aún si el 
usuario regular carece de permisos de acceso para ingresar a dicho directorio, siempre y cuando especifique la 
ruta exacta de dicho archivo. Ejemplo: 

sudo chown named /var/named/dominio.zone 


Sudo siempre impedirá ejecutar algo como lo siguiente cuando el usuario regular carece de permisos de 
acceso a un directorio o sub-directorio en particular: 

sudo chown named /var/named/*.zone 


24.5. Ejemplos de configuraciones recomendadas. 

Si se va a permitir la ejecución de todos los programas del sistema utilizando sudo, como mínimo prohíba el 
uso de /bin/bash, /bin/su, /usr/bin/sudo (para prevenir se pueda ejecutar «sudo sudo programa »), 
/usr/bin/passwd root y /usr/sbin/visudo y restrinja el uso de programas que permitan escape al intérprete de 
mandatos, como serían /usr/bin/less, /bin/more, /bin/vi y /usr/bin/vim. Ejemplo: 


fulano ALL = (ALL) ALL, !/bin/bash, !/bin/su, !/usr/sbin/visudo, !/usr/bin/passwd root, 
!/usr/bin/sudo, NOEXEC: /bin/more, /bin/vi, /usr/bin/less, /usr/bin/vim 


De ser posible, evite definir ALL —todos los programas y aplicaciones del sistema— y sólo permita la ejecución 
de programas específicos. Puede definir todos los que quiera. Ejemplo: 


fulano ALL = (ALL) /bin/cat, /usr/bin/chgrp, /usr/bin/chmod, /usr/bin/chown, 
/sbin/depmod, /usr/sbin/edquota, /usr/sbin/groupadd, /usr/bin/htpasswd, /sbin/ip, 
/usr/bin/openssl, /usr/bin/systemctl, /usr/bin/tail, /usr/sbin/useradd, /usr/bin/passwd 
[A-z]*, !/usr/bin/passwd root, NOEXEC: /bin/more, /bin/vi, /usr/bin/less, /usr/bin/vim 


Evite utilizar nombres de usuario y, sobre todo, contrasenas predecibles o fáciles de adivinar. 

24.5.1. Ejemplos de configuraciones poco recomendadas. 

Si se quiere permitir a un usuario ejecutar con sudo prácticamente lo que sea, desde cualquier anfitrión, 
utilizando cualquier identidad de usuario del sistema y requiriendo ingresar la contrasena correspondiente 
al menos cada 5 minutos, se puede definir: 

fulano ALL = (ALL) ALL 


La configuración predeterminada en distribuciones basadas sobre Ubuntu™ Linux utiliza lo siguiente: 


%wheel ALL = (ALL) ALL 


Con lo anterior sólo los usuarios miembros del grupo wheel podrán hacer uso de sudo. Se recomienda cambiar 
esta configuración para hacerla un poco más restrictiva, como se muestra en los ejemplos citados algunos 
párrafos arriba. 


Si se quiere permitir a un usuario ejecutar sudo lo que sea, desde cualquier anfitrión, utilizando cualquier 
identidad de usuario del sistema y sin necesidad de autenticar, se puede definir algo como lo siguiente: 


fulano ALL = (ALL) NOPASSWD: ALL 
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Evite utilizar esta última configuración salvo que sea estrictamente necesario. 


24.6. Uso de sudo. 


Ejecute sudo con la opción -I (minúscula) como usuario regular para mostrar las opciones de variables de 
entorno permitidas y la lista de programas permitidos y prohibidos: 


sudo -1 


La salida puede ser algo similar a lo siguiente: 


Matching Defaults entries for jbarrios on this host: 

requiretty, env„reset, env„keep="COLORS DISPLAY HOSTNAME HISTSIZE 
INPUTRC KDEDIR LS_COLORS", env_keep+="MAIL PSl PS2 QTDIR USERNAME 
LANG LC„ADDRESS LC_CTYPE", env_keep+="LC_COLLATE LC_IDENTIFICATION 
LC_MEASUREMENT LC_MESSAGES", env_keep+="LC_MONETARY LC_NAME 
LC_NUMERIC LC_PAPER LC_TELEPHONE", env_keep+="LC_TIME LC_ALL LANGUAGE 
LINGUAS _XKB_CHARSET XAUTHORITY", 
secure_path=/sbin:/bin:/usr/sbin:/usr/bin 

User fulano may run the following commands on this host: 

(ALL) NOPASSWD: ALL, (ALL) !/sbin/fdisk, (ALL) NOEXEC: /usr/bin/vim, 
(ALL) /bin/more 


Como root ejecute sudo con la opción -I (minúscula), la opción -U (mayúscula) y el nombre del usuario a 
consultar para listar los privilegios de un usuario en particular. Ejemplo: 


sudo -1 -U fulano 


Ejecute sudo con la opción -L (mayúscula) para mostrar todas las opciones soportadas en el archivo 

/etc/sudores. 


sudo -L 


La salida —que será muy extensa— puede incluir algo similar a lo siguiente: 


Available options in a sudoers 'Defaults'' line: 

syslog: Syslog facility if syslog is being used for logging 
syslog_goodpri: Syslog priority to use when user authenticates 
successfully 

syslog_badpri: Syslog priority to use when user authenticates 
unsuccessfully 

long_otp_prompt: Put OTP prompt on its own line 

ignore_dot: Ignore '.' in $PATH 

mail_always: Always send mail when sudo is run 

pwfeedback: Provide visual feedback at the password prompt when there 
is user input 

fast_glob: Use faster globbing that is less accurate but does not 
access the filesystem 

umask_override: The umask specified in sudoers will override the 

user's, even if it is more permissive 

log_input: Log user's input for the command being run 

log_output: Log the output of the command being run 

compress_io: Compress 1/0 logs using zlib 

use_pty: Always run commands in a pseudo-tty 


Para ejecutar cualquier programa con sudo, se utiliza la siguiente sintaxis. 
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sudo -[opciones] programa 


Ejemplo: 


sudo systemctl restart sshd 


Se asumirá que el usuario y grupo utilizados para la identidad serán root si se omite especificar opciones u 
otros argumentos. 

Para especificar que una operación se ejecute como un usuario en particular, ejecute sudo con la opción -u 
(minúscula) seguida del nombre del usuario a utilizar y el nombre del programa correspondiente como 
argumento. Ejemplo: 


sudo -u zutano vim /home/zutano/datos.txt 


Ejecute sudo con la opción -g seguida del nombre del grupo a utilizar y el programa correspondiente como 
argumento para especificar que una operación se ejecute como un miembro de un grupo en particular. Ejemplo: 


sudo -g lp lpadmin -x EPL-5900 


Ejecute sudo con la opción -b y el programa correspondiente como argumento para especificar que una 
operación se realice en segundo plano. Ejemplo: 


sudo -b tar cpf /var/respaldos/respaldo-etc.tar /etc 


Una vez que el usuario se ha autenticado, el usuario podrá utilizar nuevamente sudo sin necesidad de volver a 
autenticarse durante 5 minutos —salvo que se especifique lo contrario en el archivo /etc/sudoers. Si un usuario 
regular ejecuta sudo con la opción -v, éste podrá refrescar el periodo de tiempo sin necesidad de tener que 
ejecutar de nuevo algo con sudo —en cuyo caso contrario expirará dicha autenticación y será necesario volver 
a realizar ésta. 


sudo -v 

Se forzará que expire el periodo de tiempo si se ejecuta sudo con la opción -k (minúscula), obligando a 
ingresar nuevamente la contraseha la siguiente vez que ejecute sudo. 

sudo -k 


Lo anterior también permite ejecutar un programa y expirar el periodo de tiempo —estableciendo la fecha de 
último uso a la fecha y hora actual— de manera simultánea. La ejecución de lo anterior puede requerir ingresar 
la contrasena del usuario regular si el tiempo ya ha expirado. Por lo general se utiliza de este modo en 
operaciones donde se desea condicionar a que sean realizadas siempre por un ser humano y jamás por un 
programa automatizado. Ejemplo: 


sudo -k systemctl restart sshd 


Si el usuario ejecuta sudo con la opción -K (mayúscula), se forzará que expire el periodo de tiempo por 
completo (elimina toda referencia de tiempo), obligando a ingresar nuevamente la contrasena la siguiente vez 
que se ejecute sudo. A diferencia de la opción -k (minúscula), ésta sólo permite ser utilizada sin otros 
argumentos. 
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sudo -K 

24.7. Uso de aliases. 


BASH (Bourne-Again Shell) permite utilizar variables de entorno y aliases al iniciar la sesión. Un administrador 
responsable por lo general preferirá evitar utilizar la cuenta de root y en su lugar hará uso de una cuenta de 
usuario regular para ejecutar diversos programas a través de sudo, los cuales se pueden simplificar a través de 
aliases. Por ejemplo, si se quiere definir que se ejecute sudo cada vez que se invoque a systemctl, se puede 
crear un alias que ejecute sudo con /usr/bin/systemctl, como en el siguiente ejemplo: 

alias systemctl="sudo /usr/bin/systemctl" 


Lo anterior permitirá ejecutar systemctl utilizando sudo, sin necesidad de teclear «sudo» en el intérprete 
de mandatos. 

24.7.1. CentOS, Fedora y Red Hat Enterprise Linux. 

Puede crear diversos aliases que pueden ser de utilidad en el archivo -/.bashrc del usuario regular utilizado, 
los cuales permitirán ejecutar automáticamente diversos programas con sudo. Ejemplos: 


# .bashrc 

# Source global definitions 
if [ -f /etc/bashrc ]; then 

. /etc/bashrc 
f i 

# User specific aliases and functions 

alias chgrp="sudo /usr/bin/chgrp" 
alias chmod="sudo /usr/bin/chmod" 
alias chown="sudo /usr/bin/chown" 
alias depmod="sudo /sbin/depmod" 
alias edquota="sudo /usr/sbin/edquota" 
alias groupadd="sudo /usr/sbin/groupadd" 
alias groupdel="sudo /usr/sbin/groupdel" 
alias htpasswd="sudo /usr/bin/htpasswd" 
alias ip="sudo /sbin/ip" 
alias less="sudo /usr/bin/less" 
alias openssl="sudo /usr/bin/openssl" 
alias systemctl="sudo /usr/bin/systemctl" 

alias system-config-firewall="sudo /usr/bin/system-config-firewall" 

alias system-config-network-tui="sudo /usr/sbin/system-config-network-tui" 

alias system-config-printer="sudo /usr/sbin/system-config-printer" 

alias tail="sudo /usr/bin/tail" 

alias useradd="sudo /usr/sbin/useradd" 

alias userdel="sudo /usr/sbin/userdel" 

alias vi="sudo /usr/bin/vim" 

alias yum="sudo /usr/bin/yum" 


Para que surtan efectos los cambios, hay que salir de la sesión y volver a ingresar con la misma cuenta de 
usuario en cuyo archivo -/. bashrc se anadieron estos aliases. 

24.7.2. En openSUSE™ y SUSE™ Linux Enterprise. 

Puede crear diversos aliases que pueden ser de utilidad en el archivo -/. aliases del usuario regular utilizado, 
los cuales permitirán utilizar automáticamente diversos programas con sudo. Ejemplos: 
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alias chgrp="sudo /usr/bin/chgrp" 
alias chmod="sudo /usr/bin/chmod" 
alias chown="sudo /usr/bin/chown" 
alias depmod="sudo /sbin/depmod" 
alias edquota="sudo /usr/sbin/edquota" 
alias groupadd="sudo /usr/sbin/groupadd" 
alias groupdel="sudo /usr/sbin/groupdel" 
alias htpasswd="sudo /usr/bin/htpasswd" 
alias insserv="sudo /sbin/insserv" 
alias ip="sudo /sbin/ip" 
alias less="sudo /usr/bin/less" 
alias openssl="sudo /usr/bin/openssl" 
alias systemctl="sudo /usr/bin/systemctl" 
alias tail="sudo /usr/bin/tail" 
alias useradd="sudo /usr/sbin/useradd" 
alias userdel="sudo /usr/sbin/userdel" 
alias vi="sudo /usr/bin/vim" 
alias yast="sudo /sbin/yast2" 
alias zypper="sudo /usr/bin/zypper" 


Para que surtan efectos los cambios, hay que salir de la sesión y volver a ingresar con la misma cuenta de 
usuario en cuyo archivo -/. aliases se anadieron estos aliases. 


241 




Joel Barrios Duenas 


Configuración de Servidores con GNU/Linux 


25. Gestión de cuentas de usuario 


Autor: Joel Barrios Duehas 

Correo electrónico: darkshram en gmail punto com 

Sitio de Red: http://www.alcancelibre.org/ 


Creative Commons Reconocimiento-NoComercial-Compartirlgual 2.1 


© 1999-2016 Joel Barrios Duenas. Usted es libre de copiar, distribuir y comunicar públicamente la obra y hacer obras derivadas bajo las condiciones siguientes: a) 
Debe reconocer y citar al autor original. b) No puede utilizar esta obra para fines comerciales. c) Si altera o transforma esta obra o genera una obra derivada, sólo 
puede distribuir la obra generada bajo una licencia idéntica a ésta. Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. 
Alguna de estas condiciones puede no aplicarse si se obtiene el permiso del titular de los derechos de autor. Los derechos derivados de usos legítimos u otras 
limitaciones no se ven afectados por lo anterior. La información contenida en este documento y los derivados de éste se proporcionan tal cual son y los autores no 
asumirán responsabilidad alguna si el usuario o lector hace mal uso de éstos. 


25.1. Introducción. 

Aún cuando se tenga un sistema con un único usuario, es importante recordar que es poco conveniente realizar 
el trabajo diario utilizando la cuenta del usuario root. Ésta sólo debe utilizarse para realizar las tareas de 
administración del sistema . 

Una cuenta de usuario regular tiene las restricciones necesarias para impedir que se ejecute algo pueda danar 
al sistema, se altere accidentalmente la configuración de éste, los servicios que trabajan en segundo plano o 
bien los permisos y ubicación de los archivos y directorios de sistema, etc. Sólo el usuario root tiene privilegios, 
sin restricciones, sobre el sistema. 

25.2. Procedimientos. 

La gestión de cuentas usuarios se realiza a través de useradd, passwd, usermod, groupadd y groupmod. 

25.2.1. Gestión de cuentas de usuario. 

25.2.1.1. Creación de cuentas de usuario. 

La forma más simple de crear una cuenta de usuario es utilizando useradd con la opción -m (crear 
automáticamente directorio de inicio) y el nombre del usuario como argumento para crear una nueva cuenta de 
usuario. Ejemplo: 


useradd -m pruebas 


El nuevo usuario creado tendrá un directorio de inicio dentro de /home denominado igual que el nombre de 
éste, se creará automáticamente un grupo con el mismo nombre, se asignará al usuario un UID —User 
Identification— con un número a partir del 1000 y utilizará /bin/bash como intérprete de mandatos. 

25.2.1.2. Asignación o cambio de contrasenas. 

Si la cuenta del usuario carece de contrasena, ésta automáticamente está deshabilitada. 

Para asignar una contrasena ejecute passwd con el nombre del usuario como argumento. Ejemplo: 


passwd pruebas 
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El sistema solicitará ingrese la nueva contrasena para el usuario y que repita ésta para confirmar. Jamás se 
mostrarán los caracteres ingresados en pantalla. Si se sospecha se cometieron errores de tecleado, puede 
presionarse la tecla de retroceso las veces que sean necesarias y repetir todo lo que sea necesario antes de 
pulsar la tecla ENTER. El sistema siempre le informará si falla la confirmación de la contrasena. 

Sólo se permite al usuario root asignar contrasenas débiles y mostrará siempre una advertencia en estos casos. 
Los usuarios regulares realizan un cambio de contrasena, están obligados a definir siempre una que sea 
segura y que excluya palabras incluidas en los diccionarios del sistema. 

25.2.1.3. Eliminación de cuentas de usuario. 

Ejecute userdel con un nombre de usuario como argumento para eliminar éste. Ejemplo: 


userdel pruebas 


Ejecute userdel con la opción -r y el nombre del usuario como argumento para eliminar también el directorio de 
inicio —junto con su contenido— y el buzón de correo correspondiente. Ejemplo: 


userdel -r pruebas 


25.2.2. Gestión de Grupos. 

25.2.2.1. Creación de grupos. 

Los grupos sirven para categorizar y organizar los usuarios. Permite aplicar permisos a grupos que son 
heredados por los usuarios que formen parte de éstos. Hay grupos de usuarios y grupos de sistema. Los 
primeros están conformados por usuarios regulares y utilizan un número de GID —group identification— arriba 
del 1000. Los grupos de sistema son aquellos utilizados por programas y servicios y utilizan un número de GID 
menor a 1000. 

Ejecute groupadd y un nombre como argumento para crear un grupo de usuarios. Ejemplo: 


groupadd grupo-que-sea 


25.2.2.2. Creación de grupos de sistema. 

Un grupo de sistema es aquel que tiene un número de identidad de grupo —GID— por debajo del 500 — 
CentOS y Red Hat™ Enterprise Linux— o bien 1000 —Fedora™, openSUSE™ y SUSE™ Linux Enterprise— 
dependiendo del sistema operativo utilizado. El número de identidad de grupo siempre se asigna 
automáticamente, utilizando el valor consecutivo más bajo que esté disponible en el sistema. 

Ejecute groupadd con la opción -r y un nombre como argumento para crear un grupo de sistema. Ejemplo: 


groupadd -r grupo-que-sea 


25.2.2.3. Eliminación de grupos. 

Simplemente ejecute groupdel con el nombre del grupo como argumento para eliminar éste. Ejemplo: 


groupdel grupo-que-sea 
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25.2.2.4. Asignación de usuario existentes a grupos existentes. 

Ejecute usermod con la opción -G con el nombre del grupo y el nombre del usuario como argumentos —en ese 
orden. Ejemplo: 

usermod -G grupo-que-sea usuario-que-sea 

O bien ejecute gpasswd con la opción -a y el nombre del usuario seguido por el nombre del grupo como 
argumentos. Ejemplo: 

gpasswd -a usuario-que-sea grupo-que-sea 

Puede agregar varios usuarios simultáneamente ejecutando gpasswd con la opción -M y una lista de usuarios 
separada por comas. Ejemplo: 

gpasswd -M usuariol,usuario2,usuario3 grupo-que-sea 

Para eliminar al usuario del grupo ejecute gpasswd con la opción -d y el nombre del usuario seguido por el 
nombre del grupo como argumentos. Ejemplo: 

gpasswd -d usuario-que-sea grupo-que-sea 

Puede definir un usuario regular para que administre el grupo ejecutando gpasswd con la opción -A y el 
nombre del usuario seguido por el nombre del grupo como argumentos. Ejemplo: 

gpasswd -A usuario-que-sea grupo-que-sea 

Puede anadir una contrasena para administrar el grupo ejecutando gpasswd y el nombre del grupo como 
argumento. Ejemplo: 

gpasswd grupo-que-sea 

Ejecute gpasswd y el nombre del grupo como argumento para eliminar la contrasena. Ejemplo: 
gpasswd -r grupo-que-sea 

25.2.3. Opciones avanzadas. 

Pueden utilizarse las siguientes opciones de useradd: 

-c, --comment comentario 

Permite establecer detalles de la cuenta de usuario. En la actualidad se 
utiliza para definir el nombre completo del usuario. 

-d, --home directorio de inicio 

Establece el directorio de inicio del usuario. 

-e, --expiredate fecha de expiración 
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Establece la fecha de expiración de una cuenta de usuario en el formato 
AAAA-MM-DD. 


-f, -inactive días para desactivar 

Establece el número de días para desactivar una cuenta de usuario tras la 
expiración de una contrasena. 


-g, -gid qrupo principal 

Establece el grupo predeterminado al cual pertenecerá el usuario. Nota: el 
grupo definido debe de existir previamente. 


-G, -groups qrupos adicionales.[...1 

Establece los grupos adicionales a los que pertenecerá el usuario. Estos 
deben separarse utilizando una coma y sin espacios. Esto es muy 
conveniente cuando se desea que el usuario tenga acceso a determinados 
recursos del sistema, como acceso a la unidad de disquetes, 
administración de cuentas PPP y POP. Nota: los grupos definidos deben de 
existir. 


-m, -create-home 

Establece que el directorio de inicio del usuario debe ser creado si acaso 
este fuese inexistente y se copiarán dentro de este los archivos 
especificados en /etc/skel. Esta opción viene implícita en CentOS, 
Fedora™ y Red Hat™ Enterprise Linux, es decir es innecesaria, pues el 
archivo /etc/login.defs define la variable CREATE_HOME con el valor 
yes. Ejemplo: 
useradd alguien 

En Debian, openSUSE™, SUSE™ Linux Enterprise y Ubuntu™, es 
necesario utilizarla de manera explícita, siendo que de lo contrario se 
omitiría la creación de los directorios de inicio de los usuarios, pues el 
archivo /etc/login.defs define la variable CREATE_HOME con el valor no. 
Ejemplo: 

useradd -m alguien 


-M 


Establece se omita crear el directorio de inicio del usuario, aún si el archivo 
/etc/login.defs define la variable CREATE HOME con el valor yes. Es lo 
contrario de la opción -m. 


-r, -system 

Crea cuentas de sistema. Los usuarios de sistema serán creados sin 
caducidad en el archivo /etc/shadow y sus números de identidad serán 
asignados entre el rango de valores de la variable SYS_UID_MIN y la 
variable SYS_UID_MAX (100 a 499 en CentOS y Red Hat™ Enterprise 
Linux, 100 y 999 en Fedora™, openSUSE™ y SUSE™ Linux Enterprise) o 
bien como esté definido en el archivo /etc/login.defs. 
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-s, --shell intérprete de mandatos 

Establece el intérprete de mandatos ( shelí) que podrá utilizar el usuario. 
CentOS, Red Hat™ Enterprise Linux, Fedora™, openSUSE™ y SUSE™ 
Linux Enterprise establecen /bin/bash como intérprete de mandatos 
predeterminado. 


-u, --uid número de identidad de usuario 

Establece el UID del usuario. Cuando se crea una cuenta de usuario por 
primera vez, como ocurre en CentOS y Red Hat™ Enterprise Linux, los 
UID se asignarán a partir del 500. Los UID entre 0 y 99 están reservados 
para las cuentas y grupos de los servicios del sistema. El UID 100 está 
reservado para el grupo users. En el caso de openSUSE™ y SUSE™ 
Linux Enterprise, éstos asignan los UID a partir del 1000. El rango de 
valores de SYS_UID_MIN-SYS_UID_MAX puede consultarse en el archivo 
/etc/login.defs. 


Ejemplo: 


useradd -c "Fulano de tal" \ 

-u 1000 -m -d /home/pruebas \ 

-G tape,lp \ 

pruebas 


Lo anterior creará una cuenta de usuario llamada pruebas, que se encuentra incluido en los grupos tape y Ip, 
que tendrá un UID=1000, utilizará /bin/bash como intérprete de mandatos y utilizará /home/pruebas directorio 
de inicio. 


La descripción completa de opciones para useradd puede consultarse en la página de manual correspondiente. 
man 8 useradd 

Para modificar una cuenta de usuario existente, se utiliza usermod, el cual tiene las siguientes opciones que 
son similares a las de useradd: 


-c, --comment comentario 

Cambia la descripción de la cuenta de usuario. 

-d, --home directorio de inicio 

Cambia el directorio de inicio del usuario. 

-e, -expiredate fecha de expiración 

Cambia las fecha de expiración de una cuenta de usuario en el formato 
AAAA-MM-DD. 


-f, -inactive días para desactivar 

Cambia el número de días para desactivar una cuenta de usuario tras la 
expiración de una contraseha. 
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-g, —gid qrupo principal 

Cambia el grupo predeterminado al cual pertenecerá el usuario. Nota: el 
grupo definido debe de existir previamente. 


-G, --groups qrupos adicionales.[...1 

Cambia los grupos adicionales a los que pertenecerá el usuario. Estos 
deben separarse utilizando una coma y sin espacios. Nota: los grupos 
definidos deben de existir. 


-I, --login nuevo nombre del usuario 

Cambia el nombre del usuario. 


-m, --move-home 


Mueve el contenido del directorio de inicio del usuario cuando se ha 
establecido uno distinto con la opción -d. 


-s, --shell intérprete de mandatos 

Cambia el intérprete de mandatos ( shelí) que podrá utilizar el usuario. 


-u, --uid número de identidad de usuario 


Cambia el UID del usuario. 


Ejemplo: 


usermod -c "Alguien" \ 

-s /bin/zsh \ 

-u 1001 -m -d /home/alguien \ 

-1 alguien \ 

pruebas 


Lo anterior cambiará la cuenta del usuario llamada pruebas para que adelante tenga como descripción 
«Alguien», tenga el UID=1001, utilice /bin/zsh como intérprete de mandatos y cambie su directorio de inicio con 
todo su contenido a /home/alguien. 


La descripción completa de opciones para usermod puede consultarse en la página de manual 
correspondiente. 


man 8 usermod 


Pueden utilizarse las siguientes opciones de passvvd: 


-k 


Se utiliza para indicar que la actualización de una contrasena sólo se 
aplique para las sesiones expiradas, sin afectar a las sesiones activas del 
usuario modificado. 
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-I 

Sólo puede ser utilizada por root. Se utiliza para bloquear cuentas de 
usuario. El bloqueo se realiza anadiendo el símbolo ! al inicio del 
criptograma de la contrasena en el archivo /etc/shadow. 

--stdin 

Establece que passwd deberá leer el valor de la contrasena desde la 
entrada estándar (STDIN). 

-u 

Sólo puede ser utilizada por root. Revierte lo que se haya hecho con la 
opción -I. Es decir, desbloquea cuentas de usuario. Es decir, elimina el 
símbolo ! al inicio del criptograma de la contrasena en el archivo 

/etc/shadow 

-d 

Sólo puede ser utilizada por root. Elimina la contraseha de un usuario en 
particular, permitiendo ingresar al sistema sin contrasena. 

-e 


Sólo puede ser utilizada por root. Expira la contrasena del usuario, 
obligando a éste a asignar una nueva durante el siguiente ingreso al 
sistema. Esta opción fue descartada en versiones recientes de passwd en 
favor del uso de chage con la opción -d con el número cero como valor y el 
nombre del usuario como argumento. Ejemplo: chage -d 0 zutano. 


-n tiempo mínimo de vida en días 

Sólo puede ser utilizada por root. Establece el tiempo mínimo de vida, en 
días, de una contrasena. 


-x tiempo máximo de vida en días 

Sólo puede ser utilizada por root. Establece el tiempo máximo de vida, en 
días, de una contrasena. 


-w número de días previos a expiración 

Sólo puede ser utilizada por root. Establece el número de días, antes de 
que expire una contrasena, para que el usuario comience a recibir 
advertencias sobre la próxima expiración de su contrasena. 


-i número de días tras la expiración de contraseíïa 

Sólo puede ser utilizada por root. Establece el número de días para 
desactivar una cuenta de usuario tras la expiración de su contrasena. 
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-s 


Sólo puede ser utilizada por root. Mostrará información breve acerca del 
estado de una contraseíìa para un usuario determinado. 


Ejemplo: 


passwd -n 60 -x 90 -w 10 -i 5 pruebas 


Lo anterior establece que la contrasena del usuario pruebas tendrá un tiempo de vida mínimo de 60 días, un 
tiempo máximo de vida de 90 días, comenzando a recibir advertencias 10 días antes de que expire su 
contrasena y desactivando la cuenta 5 días después de que caduque la contrasena en el caso de que el usuario 
hubiese omitido cambiarla. 

La descripción completa de opciones para passvvd puede consultarse en la página de manual correspondiente. 
man 1 passwd 


25.3. Herramientas gráficas. 

Si utiliza CentOS o Red Hat™ Enterprise Linux, puede gestionar las cuentas de usuarios, grupos y cambios de 
contrasenas utilizando la herramienta gráfica system-config-users. Puede encontrarla en el menú de Sistema 
->■ Administración -> Usuarios y grupos. 



Herramienta system-config-users. 


Si utiliza openSUSE™ o SUSE™ Linux Enterprise, puede gestionar las cuentas de usuarios, grupos y cambios 
de contrasenas utilizando el módulo users de YaST en modo texto ejecutando: 

yast users 
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Módulo users de YaST en modo texto. 


O bien haga lo mismo desde YaST -> Seguridad y usuarios — Gestión de usuarios y grupos. 
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Módulo users de YaST en modo gráfico. 


25.4. Comentarios finales acerca de la seguridad. 
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Cuando un intruso consigue infiltrarse en un sistema es generalmente debido a que se realizó una conexión a 
través de SSH o Telnet y se pudo "adivinar" alguna de las contrasenas de las cuentas de usuario existentes o 
bien la contrasena del administrador. Si se específico una mala contrasena de root durante el proceso de 
instalación del sistema operativo, algo muy común entre usuarios novicios, es muy probable que ésta sea 
vulnerada en pocas horas (e incluso minutos) después de conectarse a Internet. 

• Evite especificar contrasenas fáciles de adivinar . Particularmente, evite utilizar contrasenas que 
utilicen palabras incluidas en cualquier diccionario de cualquier idioma, datos relacionados con el 
usuario o empresa, como son registro federal de contribuyentes (R.F.C.), fechas de nacimiento, 
números telefónicos, seguro social, números de cuentas de académicos o alumnos, nombres de 
mascotas, nombres de personajes de ciencia ficción, etc. 

• Evite escribir las contrasenas sobre medios físicos, prefiera siempre limitarse a memorizar éstas. 

• Si necesita almacenar contrasenas en un archivo, hágalo utilizando un buen cifrado. 

• Si se le dificulta memorizar contrasenas complejas, utilice entonces contrasehas fáciles de 
recordar, pero cámbielas periódicamente. 

• Jamás proporcione una contrasena a terceros. Evite proporcionarla en especial a personas que 
se identifiquen como miembros de algún servicio de soporte o ventas. Este último caso se 
menciona con énfasis en la página de manual de passwd. 

Se considera como una buena contrasena aquella se compone de una combinación de números y letras 
mayúsculas y minúsculas y que contiene como mínimo 8 caracteres, al menos tres caracteres en mayúscula, al 
menos tres números y al menos tres caracteres especiales. También es posible utilizar pares de palabras con 
puntuación insertada y frases o secuencias de palabras o bien acrónimos de estas. 

Observar estas recomendaciones, principalmente en sistemas con acceso a redes locales y/o públicas, como 
Internet, hará que el sistema sea más seguro. 


251 



Joel Barrios Duenas 


Configuración de Servidores con GNU/Linux 


25.5. Configurando valores predeterminados para el alta de cuentas de 
usuario. 

25.5.1. Archivo /etc/default/useradd. 

Como root edite el archivo /etc/default/useradd: 


vim /etc/default/useradd 


Encontrará, invariablemente, el siguiente contenido: 


# useradd defaults file 

GROUP=100 

H0ME=/home 

INACTIVE=-1 

EXPIRE= 

SHELL=/bin/bash 

SKEL=/etc/skel 

CREATE_MAIL_SPOOL=yes 


Puede cambiar lo valores que considere convenientes. 

25.5.1.1. Variable HOME. 

El directorio de inicio del usuario será creado dentro de /home, de acuerdo a como se estipula en Estándar de 
Jerarquía de Sistema de Archivos o FHS (Filesystem Hierarchy Standard). El valor de esta variable puede 
ser cambiado de acuerdo a las necesidades o preferencias del administrador. 

Por ejemplo, en el caso de un sistema dedicado al servicio de hospedaje de anfitriones virtuales a través de un 
servidor HTTP, pudiera preferirse utilizar el directorio /var/www para este fin, con la finalidad de simplificar 
tareas para el administrador del sistema. 

En otros casos, específicamente en servidores de correo, donde se quiere aplicar una sola cuota de disco 
general para buzón de correo y carpetas de correo en el directorio de inicio, pudiera crearse un directorio dentro 
del directorio /var, como por ejemplo el directorio /var/home o /var/users, de modo que al aplicar cuota de 
disco sobre la partición correspondiente al directorio /var, ésta involucraría tanto el buzón de entrada del 
usuario, correspondiente al archivo /var/spool/mail/usuario, así como también las carpetas de correo en el 
directorio de inicio del usuario, que teóricamente estarían localizadas dentro del directorio 
/var/home/usuario/mail/. 

25.5.1.2. Variable SHELL. 

El intérprete de mandatos a utilizar para las nuevas cuentas que sean creadas en adelante se define a través 
de la variable SHELL. De modo predeterminado el sistema asigna /bin/bash (BASH o Bourne Again Shell) 
como intérprete de mandatos; si el sistema se utiliza como servidor, lo más conveniente es asignar otro valor 
predeterminado. 
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El valor más conveniente para la variable SHELL /sbin/nologin, el cual es un programa que de forma cortés 
rechaza el ingreso del usuario al sistema (login), Muestra brevemente un mensaje respecto a que la cuenta está 
desactivada (o bien cualquier mensaje que se defina en el archivo /etc/nologin.txt) y obliga a una salida. Suele 
utilizarse como reemplazo de del intérprete de mandatos regular para cuentas de usuario que han sido 
desactivadas o bien que a las cuales se quiere impedir el acceso hacia un intérprete de mandatos. Este 
programa registra todo intento de acceso en la bitácora general del sistema, almacenada en el 
archivo /var/log/messages. Para utilizarlo como valor predeterminado para la variable SHELL, sólo hay que 
cambiar SHELL=/bin/bash por SHELL=/sbin/nologin. 


# useradd defaults file 

GROUP=100 

H0ME=/home 

INACTIVE=-1 

EXPIRE= 

SHELL=/sbin/nologin 

SKEL=/etc/skel 

CREATE_MAIL_SPOOL=yes 


Una vez terminada la edición, en adelante todo nuevo usuario que sea dado de alta en el sistema con el 
mandato useradd, sin definir parámetro alguno, de modo predeterminado se le impedirá el acceso al sistema a 
través de una consola o terminal. Los usuarios con estas características podrán, sin embargo, utilizar cualquier 
otro servicios como FTP, correo o Samba sin problema alguno. 

Los posibles valores para la variable SHELL pueden ser: 

• /sbin/nologin, programa que de forma cortés rechaza el ingreso en el sistema (login). 

• /bin/false, programa que realiza salida inmediata indicando falla. Es decir, que impide el acceso 
al sistema y además con devuelve falla. Es ideal si se quiere tener cuentas de usuario sólo con 
acceso hacia FTP, correo, Samba, etc., sin acceso hacia el intérprete de mandatos. 

• /dev/null, el dispositivo nulo descarta todos los datos escritos sobre éste y para cualquier 
proceso que lo utilice. Es ideal para cuentas de usuario para las cuales sólo se quiere acceso a 
correo electrónico (SMTP, POP3, IMAP y/o cliente de correo con interfaz HTTP). 

• /bin/bash, intérprete de mandatos desarrollado por el proyecto GNU. Es el intérprete de 
mandatos predeterminado en GNU/Linux. 

• /bin/sh, un enlace simbólico que apunta hacia /bin/bash y ofrece una versión simplificada de 
Bash muy similar a Bourne Shell (sh). 

• /bin/tcsh, una versión mejorada del intérprete de mandatos de C (csh). 

• /bin/ash, un clon de Bourne shell (sh) que utiliza menos memoria. 

• /bin/zsh, una versión mejorada de sh con funciones útiles encontradas en Bash y tcsh. 

Directorio /etc/skel. 

De modo predeterminado las cuentas de usuario del sistema utilizarán como plantilla al directorio /etc/skel para 
crear el directorio de inicio de todos los usuarios del sistema. En sistemas basados sobre CentOS, Fedora™, 
Red Hat™ Enterprise Linux, regularmente y como mínimo, el directorio /etc/skel incluye los siguientes archivos: 


,bash_logout .bash„profile .bashrc 


Si, por ejemplo, se desea que cada nueva cuenta de usuario incluya un directorio subordinado para carpetas de 
correo electrónico y además el archivo para la suscripción de éstas a través del servicio de IMAP, se debe 
realizar el siguiente procedimiento: 
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mkdir -m 0700 /etc/skel/mail/ 
touch /etc/skel/mail/Drafts 
touch /etc/skel/mail/Junk 
touch /etc/skel/mail/Sent 
touch /etc/skel/mail/Trash 
chmod 600 /etc/skel/mail/* 


Utilice cualquier editor de texto para crear el archivo /etc/skel/mail/.subscriptions: 


vim /etc/skel/mail/.subscriptions 


Este archivo sirve para registrar las suscripciones hacia carpetas de correo electrónico que serán utilizadas por 
el servicio IMAP. Anada el siguiente contenido: 


INBOX 

Drafts 

Junk 

Sent 

Trash 


Afin de que éste archivo tenga la seguridad necesaria, asigne a éste un permiso 600 (rw-.): 


chmod 600 /etc/skel/mail/.subscriptions 
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25.6. Ejercicio: Creando cuentas de usuario. 

25.6.1. Introducción 

Acontinuación se crearán algunos grupos y cuentas de usuario con diversas características. 

25.6.2. Procedimientos 

1. Genere al usuario denominado «fulano», definiendo «/bin/bash» como intérprete de mandatos, UID 
«1001», directorio de inicio «/home/fulano» (valor predeterminado) y grupo principal «fulano» (valores 
predeterminados): 

useradd --uid 1001 -m -s /bin/bash -c "Fulano de Tal" fulano 
Asigne contrasena al usuario «fulano»: 

passwd fulano 

2. Genere al usuario denominado «mengano», definiendo «/dev/null» como intérprete de mandatos, 
definiendo el directorio de inicio «/home/mengano» (valor predeterminado) y grupo principal «mengano» 
(valores predeterminados): 

useradd -m -s /dev/null -c "Mengano de Tal" mengano 
Asigne contrasena al usuario «mengano»: 

passwd mengano 

3. Genere el grupo denominado «desarrollo» con GID 1003: 

groupadd --gid 1003 desarrollo 


4. Genere el grupo denominado «servicio» como grupo de sistema: 


groupadd -r servicio 


5. Genere al usuario denominado «perengano», definiendo «/sbin/nologin» como intérprete de mandatos, 
definiendo el directorio de inicio «/home/perengano» (valor predeterminado), con grupo principal 
«desarrollo» y grupo adicional «servicio»: 


useradd -m -s /sbin/nologin \ 

-g desarrollo -G servicio \ 

-c "Perengano de Tal" perengano 


Asigne contrasena al usuario perengano: 


passwd perengano 
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6. Genere al usuario denominado «zutano», definiendo «/bin/bash» como intérprete de mandatos, 
definiendo el directorio de inicio «/home/zutano» (valor predeterminado), con grupo principal «servicio» 
y grupo adicional «desarrollo»: 

useradd -m -s /bin/bash \ 

-g servicio -G desarrollo \ 

-c "Zutano de Tal" zutano 

Asigne contrasena al usuario «zutano»: 
passwd zutano 

Haga caducar la contraseha del usuario «zutano»: 
chage -d 0 zutano 

Lo anterior forzará el cambio de la contrasena con el siguiente acceso de zutano. 

7. Visualice el contenido de los archivos /etc/group, /etc/passwd y /etc/shadow y compare y determine 
las diferencias entre los grupos «desarrollo» y «servicio» y los usuarios «fulano», «mengano», 
«perengano» y «zutano». 

tail -2 /etc/group 
tail -4 /etc/passwd 
tail -4 /etc/shadow 

8. Pulse CTRL+ALT+F2 (maquinas reales) o CTRL(derecho)+F2 (Máquinas virtuales con VirtualBox) e 
ingrese como fulano. 

9. Pulse CTRL+ALT+F3 (maquinas reales) o CTRL(derecho)+F3 (Máquinas virtuales con VirtualBox) e 
intente ingresar como mengano. Debe denegarse el acceso. 

lO.lntente ingresar como perengano. Debe denegarse el acceso. 

ll.lngrese como zutano. Se solicitará ingresar de nuevo la contrasena actual y luego se solicitará ingresar 
una nueva contrasena con confirmación. La nueva contrasena deberá excluir palabras de diccionarios. 

12.Compare resultados y haga conclusiones. 
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26. Lección de mandatos básicos. 


Autor: Joel Barrios Duehas 

Correo electrónico: darkshram en gmail punto com 

Sitio de Red: http://www.alcancelibre.org/ 


Creative Commons Reconocimiento-NoComercial-Compartirlgual 2.1 


© 1999-2016 Joel Barrios Duenas. Usted es libre de copiar, distribuir y comunicar públicamente la obra y hacer obras derivadas bajo las condiciones siguientes: a) 

Debe reconocer y citar al autor original. b) No puede utilizar esta obra para fines comerciales (incluyendo su publicación, a través de cualquier medio, por entidades 
con fines de lucro). c) Si altera o transforma esta obra o genera una obra derivada, sólo puede distribuir la obra generada bajo una licencia idéntica a ésta. Al 
reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. Alguna de estas condiciones puede no aplicarse si se obtiene el 
permiso del titular de los derechos de autor. Los derechos derivados de usos legítimos u otras limitaciones no se ven afectados por lo anterior. Licencia completa 
en castellano. La información contenida en este documento y los derivados de éste se proporcionan tal cual son y los autores no asumirán responsabilidad alguna 
si el usuario o lector hace mal uso de éstos. 

26.1. Preparativos. 

Por favor, siga los procedimientos al pie de la letra. En varios ejemplos utilizará el carácter - (tilde), que es 
una forma de abreviar el directorio de inicio del usuario utilizado. 

Durante el ejercicio de «Gestión de Cuentas de Usuario » debió de haber creado al usuario fulano. Esta 
lección asume que este usuario existe y que será el utilizado para realizar los procedimientos. Es muy 
importante enfatizar que debe realizar los ejercicios como usuario regular —sin privilegios— para evitar 
accidentes que puedan comprometer la integridad del sistema. 

Ingrese como root y verifique que estén instalados los paquetes man, perl, less, file y man-pages-es 
Si utiliza CentOS, Fedora™ o Red Hat™ Enterprise Linux, ejecute lo siguiente: 


yum -y install man perl less file man-pages-es finger 


Si utiliza openSUSE™ o SUSE™ Linux Enterprise, ejecute lo siguiente: 

yast -i man perl less file man-pages finger 

Si utiliza CentOS 6 o Red Hat™ Enterprise Linux 6 ejecute makewhatis para generar un índice de las 
páginas de manual presentes en el sistema. 

makewhatis 


Si utiliza ALDOS, CentOS 7, Fedora™, openSUSE™, SUSE™ Linux Enterprise o Red Hat™ Enterprise 
Linux 7 ejecute mandb para generar un índice de las páginas de manual presentes en el sistema. 


mandb 


Espere unos minutos a que termine de generarse el índice de manuales. 
Cierre la sesión de root ejecutando exit: 


exit 


26.2. Procedimientos. 
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Ingrese al sistema como usuario regular (fulano). 

26.2.1. Cambiar de usuario a super-usuario. 

Ejecute su sin argumentos e ingrese la clave de acceso de root cuando se le solicite: 


su 


Ejecute lo siguiente para ver las variables de entorno: 


echo $USER; echo SLOGNAME; echo $SHELL; echo $PATH; echo $HOME 


Lo anterior debe devolver la siguiente salida: 


fulano 

fulano 

/bin/bash 

/usr/local/bin:/usr/bin:/bin:/usr/local/sbin:/usr/sbin:/sbin:/home/fulano/bin 
/root 


Observe que aunque se tienen privilegios de root, se carece de las variables de entorno de éste, por lo cual 
algunos ejecutables sólo se podrán utilizar si se específica la rutas exacta de éstos (ejemplos: /sbin/service, 
/sbin/chkconfig, /sbin/fsck y /sbin/fdisk). 


Ejecute exit. 

exit 

Ejecute su, esta vez con la opción -I (que es lo mismo que «su -» o bien «su — login») e ingrese la clave de 
acceso de root cuando se le solicite: 


su -1 


Ejecute lo siguiente para consultar las variables de entorno: 


echo $USER; echo $LOGNAME; echo $SHELL; echo $PATH; echo $HOME 


Lo anterior debe devolver la siguiente salida: 


root 

root 

/bin/bash 

/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin:/root/bin 
/root 


Observe que además de los privilegios de root, se tienen también de las variables de entorno de éste, pues en 
realidad se ha realizado un ingreso (login) como root. 


Ejecute exit para regresar como usuario regular (fulano). 


exit 
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26.2.2. Consultar información del sistema y usuarios. 

Ejecute lo siguiente para consultar la información básica del sistema: 
uname -a 

Lo anterior devolverá una salida similar a la siguiente, en la cual se mostrará el nombre del núcleo, nombre de 
anfitrión, número de lanzamiento del núcleo, versión del núcleo de Linux, tipo de microprocesador, plataforma 
del sistema y nombre del sistema operativo. 

Linux localhost.localdomain 2.6.32-71.29.1.el6.Ì686 #1 SMP Mon Jun 27 18:07:00 BST 2011 
Ì686 Ì686 Ì386 GNU/Linux 

Ejecute lo siguiente para identificar cuál es el nombre de usuario que está usted está utilizando en el sistema: 
whoami 

Ejecute lo siguiente para visualizar cuáles usuarios están conectados en el sistema y dónde lo están haciendo: 
who 

Ejecute lo siguiente para visualizar cuáles usuarios están conectados en el sistema, en qué tipo de terminal lo 
están haciendo y qué es lo que están haciendo: 

w 

Ejecute lo siguiente para visualizar cuáles usuarios están conectados en el sistema, en qué tipo de terminal lo 
están haciendo y mostrar la información de usuario definida en el archivo /etc/passwd: 

finger 

Ejecute lo siguiente para ver la bitácora de acceso de los más recientes ingresos a sistema de todos los 
usuarios existentes en el sistema, es decir un resumen del contenido del archivo /var/log/lastlog: 

lastlog 

Ejecute lo siguiente para visualizar la bitácora de accesos hacia el sistema, es decir un extracto del contenido 
del archivo /var/log/wtmp: 

last 

Ejecute lo siguiente para ver con privilegios de root el resumen de la bitácora de intentos fallidos de acceso al 
sistema, es decir un resumen del contenido del archivo /var/log/btmp: 

su -1 root -c "lastb" 

26.2.3. Operaciones comunes con archivos y directorios. 

26.2.3.1. Usodefile. 


259 









Joel Barrios Duenas 


Configuración de Servidores con GNU/Linux 


Ejecute lo siguiente para conocer un ejemplo de uso de file: 
file /etc/hosts 

Lo anterior devolverá que /etc/hosts es un archivo de texto. 

/etc/hosts: ASCII text 

File es un programa que sirve para identificar un archivo en particular a partir del tipo de datos que contiene 
éste. Permite identificar diferentes tipos de archivos, incluyendo binarios en formato ELF, bibliotecas 
compartidas y diversos formatos de archivos de imágenes. 

26.2.3.2. Uso de pwd. 

Ejecute lo siguiente para conocer para qué sirve pwd: 
pwd 

Lo anterior devolverá el directorio de trabajo actual, en este caso el directorio de inicio del usuario. Pwd sirve 
para mostrar la ruta del directorio de trabajo actual (path ofworking directory). 

Cambie al directorio /usr/local ejecutando cd, el cual sirve para cambiar de directorio (change directory)'. 
cd /usr/local 

Ejecute nuevamente pwd: 
pwd 

Lo anterior mostrará el directorio de trabajo actual. 

Para regresar a su directorio de inicio (~), ejecute cd sin argumentos: 
cd 

Ejecute nuevamente pwd para verificar que se encuentra en su directorio de inicio: 
pwd 

Lo anterior deberá mostrar que ahora se encuentra dentro de su directorio de inicio (~). 

26.2.3.3. Usodels. 

Ejecute Is con /usr/local como argumento: 
ls /usr/local 

Lo anterior mostrará el contenido del directorio /usr/local y demostrará que es innecesario cambiarse a un 
directorio en particular, sólo para ver su contenido. Ls sirve para listar el contenido del sistema de archivos (list) 
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Ejecute lo siguiente: 


is 

ls -a 


Primero se mostrará que el directorio de inicio (~) está vacío; después se mostrará que en realidad si hay 
contenido; los archivos y directorios de convierten a ocultos al re-nombrar éstos, poniendo un punto al inicio de 
su nombre. 


. bash_history .bash_profile ,gnome2 .Xauthority 
,bash_logout .bashrc .mozilla 


Ejecute: 


ls -la 


Lo anterior mostrará todo el contenido de su directorio de inicio (~), en una lista ordenada por nombre, la cual 
mostrará además tamanos en bytes, atributos y permisos: 


total 24 

drwx-. 4 fulano fulano 4096 sep 23 21:22 . 

drwxr-xr-x. 5 root root 4096 sep 23 20:51 .. 

-rw-. 1 fulano fulano 143 sep 23 20:59 .bash_history 

-rw-r--r--. 1 fulano fulano 18 may 30 11:58 ,bash_logout 

-rw-r--r--. 1 fulano fulano 176 may 30 11:58 .bash_profile 

-rw-r--r--. 1 fulano fulano 124 may 30 11:58 .bashrc 


Ejecute: 


ls -lar 


La salida será similar a la anterior, ordenando por nombre los archivos, pero en orden inverso: 


total 24 

-rw-r--r--. 1 fulano fulano 124 may 30 11:58 .bashrc 

-rw-r--r--. 1 fulano fulano 176 may 30 11:58 .bash_profile 

-rw-r--r--. 1 fulano fulano 18 may 30 11:58 ,bash_logout 

-rw-. 1 fulano fulano 143 sep 23 20:59 .bash_history 

drwxr-xr-x. 5 root root 4096 sep 23 20:51 .. 
drwx-. 4 fulano fulano 4096 sep 23 21:35 . 


Ejecute: 


ls -hlar 


La salida será similar a la anterior, ordenando los archivos por nombre, en orden inverso, pero mostrando los 
tamanos de archivos en unidades más fáciles de entender: 


total 24K 

-rw-r--r--. 1 fulano fulano 124 may 30 11:58 .bashrc 

-rw-r--r--. 1 fulano fulano 176 may 30 11:58 .bash_profile 

-rw-r--r--. 1 fulano fulano 18 may 30 11:58 ,bash_logout 

-rw-. 1 fulano fulano 143 sep 23 20:59 .bash_history 

drwxr-xr-x. 5 root root 4.0K sep 23 20:51 .. 
drwx-. 4 fulano fulano 4.0K sep 23 21:35 . 
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Ejecute: 


ls -Sla 


Lo anterior deberá de mostrar todo el contenido del directorio de inicio (~), mostrará los atributos y permisos y 
ordenará los elementos por tamano: 


total 24 

drwx-. 4 fulano fulano 4096 sep 23 21:35 . 

drwxr-xr-x. 5 root root 4096 sep 23 20:51 .. 

-rw-r--r--. 1 fulano fulano 176 may 30 11:58 .bash_profile 

_ rw -. i fulano fulano 143 sep 23 20:59 .bash_history 

-rw-r--r--. 1 fulano fulano 124 may 30 11:58 .bashrc 

-rw-r--r--. 1 fulano fulano 18 may 30 11:58 ,bash_logout 


Ejecute: 


ls -Slar 


La salida será similar a la anterior, ordenando los archivos por tamano, pero en orden inverso: 


total 24 

-rw-r--r--. 1 fulano fulano 18 may 30 11:58 ,bash_logout 

-rw-r--r--. 1 fulano fulano 124 may 30 11:58 .bashrc 

_ rw -. i fulano fulano 143 sep 23 20:59 .bash_history 

-rw-r--r--. 1 fulano fulano 176 may 30 11:58 .bash_profile 

drwxr-xr-x. 5 root root 4096 sep 23 20:51 .. 

drwx-. 4 fulano fulano 4096 sep 23 21:35 . 


Ejecute: 


ls -tla 


Lo anterior deberá de mostrar todo el contenido del directorio de inicio (~), mostrará los atributos y permisos y 
ordenará los elementos por fecha de modificación: 


total 24 

drwx-. 4 fulano fulano 4096 sep 23 21:35 . 

_ rw -. i fulano fulano 143 sep 23 20:59 .bash„history 

drwxr-xr-x. 5 root root 4096 sep 23 20:51 .. 

-rw-r--r--. 1 fulano fulano 18 may 30 11:58 ,bash_logout 

-rw-r--r--. 1 fulano fulano 176 may 30 11:58 .bash_profile 

-rw-r--r--. 1 fulano fulano 124 may 30 11:58 .bashrc 


Ejecute: 


ls -tlar 


La salida será similar a la anterior, ordenando los archivos por fecha de modificación, pero en orden inverso: 


total 24 

-rw-r--r--. 1 fulano fulano 124 may 30 11:58 .bashrc 

-rw-r--r--. 1 fulano fulano 176 may 30 11:58 .bash_profile 

-rw-r--r--. 1 fulano fulano 18 may 30 11:58 ,bash_logout 

drwxr-xr-x. 5 root root 4096 sep 23 20:51 .. 

_ rw -. i fulano fulano 143 sep 23 20:59 .bash„history 

drwx-. 4 fulano fulano 4096 sep 23 21:35 . 
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Ejecute: 


ls -htlar 


La salida será similar a la anterior, pero mostrando los tamanos de los archivos en unidades más fáciles de 
entender: 


total 24K 

_rw-r--r--. 1 fulano fulano 124 may 30 11:58 .bashrc 

-rw-r--r--. 1 fulano fulano 176 may 30 11:58 . bash__profile 

-rw-r--r--. 1 fulano fulano 18 may 30 11:58 ,bash_logout 

drwxr-xr-x. 5 root root 4.0K sep 23 20:51 .. 

-rw-. 1 fulano fulano 143 sep 23 20:59 .bash_history 

drwx-. 4 fulano fulano 4.0K sep 23 21:35 . 


Ejecute: 


ls -ia 


La salida será similar a la anterior, pero mostrando la información del número de inodo que corresponden a 
cada uno de los archivos del directorio de trabajo actual: 


4194305 . 

4194307 

.bash_history 

4194306 

.bash_profile 

2 . . 

. 4194315 

.bash„logout 

4194310 

.bashrc 


Ejecute: 


ls -lia 


La salida será similar a la anterior, mostrando la información del número de inodo que corresponden a cada uno 
de los archivos del directorio de trabajo actual, con detalles: 


total 24 

4194305 drwx- 2 fulano fulano 4096 jun 21 16:47 . 

2 drwxr-xr-x 9 root root 4096 jun 21 16:42 .. 

4194307 -rw- 1 fulano fulano 63 jun 21 16:47 .bash_history 

4194315 -rw- 1 fulano fulano 18 mar 26 19:22 ,bash_logout 

4194306 -rw- 1 fulano fulano 193 mar 26 19:22 .bash_profile 

4194310 -rw- 1 fulano fulano 124 mar 26 19:22 .bashrc 


Ejecute lo siguiente para crear varios archivos vacíos: 


touch 

archivol 

archivo2 

archivoll 

archivol2 

archivol35 

archivo246 

touch 

archivoA 

archivoB 

archivoaa 

archivoAB 

archivoabc 

archivoABC 


Ejecute: 

ls archivo*l* 

La salida de lo anterior deberá mostrar todos los archivos cuyo nombre inicia con la cadena archivo pero sólo 
aquellos que incluyen el número 1 después de la cadena archivo: 

archivol archivoll archivol2 archivol35 
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Ejecute: 

ls archivo[!*l]* 

La salida de lo anterior deberá mostrar todos los archivos cuyo nombre inicia con la cadena archivol pero sólo 
aquellos que carecen del número 1 en cualquier parte después de la cadena archivo: 


archivo2 

archivoA 

archivoAB 

archivoB 

archivo246 

archivoaa 

archivoabc 

archivoABC 


Ejecute: 

ls archivo??? 

La salida de lo anterior deberá mostrar todos los archivos cuyo nombre inicia con la cadena archivo pero sólo 
aquellos que incluyen sólo tres caracteres adicionales después de la cadena archivo: 

archivol35 archivo246 archivoABC archivoABC 

Ejecute: 

ls archivo?? 

La salida de lo anterior deberá mostrar sólo los archivos cuyo nombre inicia con la cadena archivo pero sólo 
aquellos que incluyen sólo dos caracteres adicionales después de la cadena archivo: 

archivoll archivol2 archivoaa archivoAB 

Ejecute: 

ls archivo[[:digit:]]* 

La salida de lo anterior deberá mostrar sólo los archivos cuyo nombre inicia con la cadena archivo pero sólo 
aquellos que incluyen números después de la cadena archivo: 

archivol archivoll archivol2 archivol35 archivo2 archivo246 

Ejecute: 

ls archivo[[:lower:]]* 

La salida de lo anterior deberá mostrar sólo los archivos cuyo nombre inicia con la cadena archivo pero sólo 
aquellos que terminan en letras minúsculas: 

archivoaa archivoabc 

Ejecute: 

ls archivo[[:upper:]]* 
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La salida de lo anterior deberá mostrar sólo los archivos cuyo nombre inicia con la cadena archivo pero sólo 
aquellos que terminan en letras mayúsculas: 

archivoA archivoAB archivoB archivoABC 

Ejecute: 

ls archivo*[![:digit: ]] 

La salida de lo anterior deberá mostrar sólo los archivos cuyo nombre inicia con la cadena archivo pero sólo 
aquellos que terminan en caracteres distintos a los números: 

archivoA archivoaa archivoAB archivoabc archivoABC archivoB 

Ejecute: 

ls archivo*[cC] 

La salida de lo anterior deberá mostrar sólo los archivos cuyo nombre inicia con la cadena archivo pero sólo 
aquellos que terminan en c o C: 

archivoabc archivoABC 

Ejecute: 

ls archivo*[!cC] 

La salida de lo anterior deberá mostrar sólo los archivos cuyo nombre inicia con la cadena archivo pero sólo 
aquellos que terminan con cualquier carácter excepto c o C: 


archivol 

archivol2 

archivo2 

archivoA 

archivoAB 

archivoll 

archivol35 

archivo246 

archivoaa 

archivoB 


Ejecute: 

ls archivo[!aAl]* 

La salida de lo anterior deberá mostrar sólo los archivos cuyo nombre inicia con la cadena archivo pero sólo 
aquellos que excluyen a, Ao el número 1 después de la cadena archivo: 

archivo2 archivo246 archivoB 

26.2.3.4. Uso de mkdir. 

Ejecute lo siguiente para crear un nuevo directorio: 
mkdir ejemplosl 

Ejecute lo siguiente para intentar generar otro directorio denominado «uno», pero dentro del directorio 
«ejemplos2» (el cual es inexistente). 
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mkdir ejemplos2/uno/ 

Lo anterior devolverá un mensaje de error como el siguiente: 

mkdir: no se puede crear el directorio «ejemplos2/uno»: No existe el archivo o el 
directorio 

A fin de poder crear el directorio «uno», dentro del directorio «ejemplos2», es necesario crear primero 
«ejemplos2». Sin embargo puede indicarle a mkdir que genere toda la ruta anadiendo la opción -p (path): 

mkdir -p ejemplos2/uno 
ls 

ls ejemplos2 

Lo anterior creo el directorio «ejemplos2» y dentro de éste al directorio «uno» y mostró al directorio 
«ejemplos2» y mostró dentro de éste al directorio «uno». 

26.2.3.5. Uso de cp. 

Copie algunos archivos para experimentar con este directorio, utilizando cp: 

cp /etc/fstab -/ejemplosl/ 

Vuelva a ejecutar cp de este modo: 

cp /etc/passwd -/ejemplosl/ 

Con estos dos procedimientos, se habrán copiado dos distintos archivos (/etc/fstab y /etc/passwd) dentro del 
directorio ejemplosl. 

Intente copiar el directorio -/ejemplosl/ como el nuevo directorio -/copial, ejecutando lo siguiente: 

cp -/ejemplosl/ -/copial 

Lo anterior devolverá un error porque -/ejemplosl es un directorio: 
cp: se omite el directorio «ejemplosl/» 

Para realizar la copia de un directorio, junto con todo su contenido, debe ejecutar cp con la opción -r, lo cual 
realizará una copia descendente del directorio de origen como el directorio de destino indicado. Ejecute lo 
siguiente: 

cp -r -/ejemplosl/ -/copial/ 

Visualice el contenido de ambos directorios ejecutando Is con la opción -I: 

ls -1 ejemplosl/ copial/ 

La salida le mostrará lo siguiente: 
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copial/: 
total 8 









-rw-r- -r- - 

i 

fulano 

fulano 

1052 

abr 

27 

10:58 

fstab 

-rw-r- -r- - 

i 

fulano 

fulano 

1957 

abr 

27 

10:58 

passwd 

ejemplosl/: 
total 8 









-rw-r- -r- - 

i 

fulano 

fulano 

1052 

abr 

27 

10:54 

fstab 

-rw-r--r- - 

i 

fulano 

fulano 

1957 

abr 

27 

10:54 

passwd 


Notará que las fechas de modificación de los archivos contenidos en ambos directorios son diferentes. 


Elimine el directorio copial, ejecutando lo siguiente: 
rm -fr -/copial/ 

Para realizar una copia de un directorio, preservando todos los atributos y permisos del contenido del directorio 
original, ejecute cp con la opción -a: 

cp -a -/ejemplosl/ -/copial/ 


Para realizar una copia de un directorio, preservando todos los atributos y permisos del contenido del directorio 
original, pero sólo copiando los archivos que cambiaron respecto de el directorio de origen y viendo una salida 
descriptiva, ejecute cp con las opciones -auv: 


cp -auv -/ejemplosl/ -/copial/ 


Visualice de nuevo el contenido de ambos directorios ejecutando Is con la opción -I: 


ls -1 -/ejemplosl/ -/copial/ 


La salida le mostrará algo similar a lo siguiente: 


copial/: 
total 8 









-rw-r- -r- - 

i 

fulano 

fulano 

1052 

abr 

27 

10:54 

fstab 

-rw-r- -r- - 

i 

fulano 

fulano 

1957 

abr 

27 

10:54 

passwd 

ejemplosl/: 
total 8 









-rw-r--r-- 

i 

fulano 

fulano 

1052 

abr 

27 

10:54 

fstab 

-rw-r- -r- - 

i 

fulano 

fulano 

1957 

abr 

27 

10:54 

passwd 


Notará que las fechas de modificación de los archivos contenidos en ambos directorios son idénticas. 


Ejecute touch para cambiar la fecha de modificación del archivo -/ejemplosl/fstab: 


touch -/ejemplosl/fstab 


Ejecute cp con las opciones -a para realizar una copia exacta del directorio de origen y sus contenidos, -u para 
realizar sólo la copia de los contenido nuevos y utilizando la opción -v para ver una salida detallada: 

cp -auv -/ejemplosl/* -/copial/ 

Lo anterior debe devolver una salida similar a la siguiente. 
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«ejemplosl/fstab» -> «copial/fstab» 

Ejecute nuevamente mkdir y genere un directorio denominado adicional dentro del directorio de ejemplosl. 
mkdir -/ejemplosl/adicional 

Acceda al directorio de ejemplosl para continuar. Ejecute lo siguiente: 
cd -/ejemplosl/ 


Liste el contenido de este directorio, ejecutando lo siguiente: 


ls 


Se mostrarán los archivos fstab y passvvd y el directorio adicional.: 


[fulano§localhost ejemplosl]$ 
adicional fstab passwd 
[fulanoilocalhost ejemplosl]$ 


26.2.3.6. Uso de mv. 

Genere un nuevo archivo vacío denominado nombrel.txt: 


touch nombrel.txt 

Cambie el nombre del archivo ejecutando mv con nombrel.txt uno como primer argumento y nombre2.txt como 
segundo argumento: 

mv nombrel.txt nombre2.txt 

Ejecute Is para ver el resultado: 

ls 

Sí, mv se utiliza también para cambiar nombres de archivos y directorios. 


Mueva el archivo fstab dentro del directorio adicional ejecutando mv: 


mv fstab adicional/ 


Examine el contenido del directorio ejemplosl ejecutando nuevamente Is: 


ls 


Obtendrá una salida similar a la siguiente: 


[fulano§localhost ejemplosl]$ 
adicional passwd 
[fulanoilocalhost ejemplosl]$ 
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En este caso se utilizó mv para mover un archivo a otro directorio. 
valide lo anterior accediendo al directorio adicional ejecutando cd sin argumentos. 
cd adicional 

Visualice el contenido del directorio de trabajo actual ejecutando Is. 
ls 

Se mostrará una salida similar a la siguiente: 

[fulanoilocalhost adicional]$ 
fstab 

[fulanoilocalhost adicional]$ 

26.2.3.7. Uso de rm y rmdir. 

Regrese al directorio ejemplosl que se encuentra en el nivel superior ejecutando cd con «..» como argumento: 

cd . . 

Proceda a eliminar el archivo passwd que se encuentra en el directorio ejemplosl 

rm passwd 

Haga lo mismo con fstab, el cual se localiza dentro del directorio adicional: 
rm adicional/fstab 

Elimine el directorio adicional: 

rmdir adicional 

26.2.3.8. Trabajando con nombres de archivos y directorios con espacios. 

Genere un nuevo sub-directorio denominado directoriosl: 
mkdir directoriosl 

Cambie a este nuevo directorio: 
cd directoriosl 

Ejecuta lo siguiente: 

mkdir Nuevo Directorio 

Liste el contenido del directorio de trabajo actual mostrando una sola columna: 


269 











Joel Barrios Duenas 


Configuración de Servidores con GNU/Linux 


ls -1 


Lo anterior creó dos nuevos directorios, uno denominado «Nuevo» y otro denominado «Directorio», por lo que 
verá una salida como la siguiente: 


Directorio 

Nuevo 


Ejecuta lo siguiente, que será similar al último mkdir, pero que en esta ocasión utilizará una diagonal inversa 
antes del espacio: 


mkdir NuevoX Directorio 


Liste el contenido del directorio de trabajo actual mostrando una sola columna: 


ls -1 


Lo anterior creó un nuevo directorio denominado «Nuevo Directorio», por lo que verá una salida como la 
siguiente: 


Directorio 

Nuevo 

Nuevo Directorio 


La diagonal inversa se utilizó como carácter de escape para indicar que espacio entre «Nuevo» y «Directorio» 
es parte del nombre el directorio que se quiere crear. 

Puede lograrse el mismo efecto escribiendo el nombre del directorio a crear entre comillas. Ejecute lo siguiente: 
mkdir "Otro Directorio" 


Liste el contenido del directorio de trabajo actual mostrando una sola columna: 


ls -1 


Lo anterior creó un nuevo directorio denominado «Otro Directorio», por lo que verá una salida como la 
siguiente: 


Directorio 

Nuevo 

Nuevo Directorio 
Otro Directorio 


Regrese a su directorio de inicio. 


cd 


26.2.4. Consultar ayuda, páginas de manual e información. 

La mayoría de los programas disponibles en la consola utilizan como norma ofrecer un desplegado de ayuda 
rápida ejecutando el programa con la opción --help. Como ejemplo ejecute: 
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ls --help 

Lo anterior mostrará la ayuda de Is. Pulse simultáneamente las teclas «SHIFT» y «Re Pág» y luego las teclas 
«SHIFT» y «Av Pág»; ésto permitirá avanzar o retroceder en la pantalla. 

Pulse la tecla «ENTER» y ejecute lo siguiente: 

man ls 

Lo anterior mostrará el manual en espanol —en caso de que esté disponible. Pulse las teclas «Av Pág» y «Re 
Pág» para avanzar o retroceder. Pulse la tecla /, ingrese la cadena de texto «director» y pulse la tecla 
«ENTER»: 

/director 

Lo anterior habrá realizado una búsqueda en el manual de Is y resaltado las incidencias de la cadena de texto 
«director». Pulse la tecla q para salir. 

Si necesita consultar otros manuales relacionados con Is, ejecute man con la opción -k y el nombre del 
programa a consultar como argumento: 

man -k ls 

Lo anterior devolverá una extensa salida que consistirá en la lista de todas las páginas de manual que incluyen 
información relacionada con Is. 

Para obtener una lista más específica, ejecute lo siguiente: 
whatis ls 

Ejecute lo siguiente: 

man -k crontab 

Lo anterior devolverá una salida similar a la siguiente, la cual indica que hay dos distintos manuales para 
crontab (1 y 5). 

crontab (1) - maintains crontab files for individual users 

crontab (5) - files used to schedule the execution of programs 

Las páginas de manual se organizan en las siguientes categorías: 

• 1 corresponde a manuales para programas ejecutables y guiones del intérprete de mandatos. 

• 2 corresponde a manuales para llamadas del sistema (funciones servidas por el núcleo). 

• 3 corresponde a manuales para llamadas de la biblioteca (funciones contenidas en las bibliotecas 

del sistema). 

• 4 corresponde a manuales para archivos especiales (se encuentran generalmente en /dev). 
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• 5 corresponde a manuales para formato de archivos y convenios. 

• 6 corresponde a manuales para juegos 

• 7 corresponde a manuales para paquetes de macros y convenios. 

• 8 corresponde a manuales para herramientas de administración del sistema (generalmente sólo 
son para root) 

• 9 corresponde a manuales para rutinas del núcleo [No es estándar] 

• n se utilizaba en el pasado para clasificar las páginas de manual nuevas. Hoy en día es obsoleto. 

• I se utilizaba en el pasado para clasificar las páginas de manual para uso local. Hoy en día es 
obsoleto. 

• p se utilizaba en el pasado para clasificar las páginas de manual públicas. Hoy en día es 
obsoleto. 

• o se utilizaba en el pasado para clasificar las páginas de manual antiguas. Hoy en día es 
obsoleto. 

Lo que significa que crontab(l) corresponde al manual del programa crontab y crontab(5) corresponde al 
manual del formato del archivo /etc/crontab. Para consultar éste último ejecute lo siguiente: 


man 5 crontab 


Para salir, pulse la tecla q. 

Ejecute lo siguiente: 
info ls 

Lo anterior mostrará la página de información Is. Info se puede utilizar cuando se carece de páginas de manual. 
Para salir, pulse la tecla q. 

26.2.5. Gestionando texto simple. 

26.2.5.1. Usodevvc. 

Wc —word count— es un programa utilizado para contabilizar el número de líneas, palabras o caracteres de 
texto simple. 

Regrese a su directorio de inicio ejecutando cd sin argumentos: 
cd 

Ejecute wc con la opción -m y /etc/crontab como argumento: 

wc -m /etc/crontab 
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Lo anterior devolverá que el archivo /etc/crontab contiene cierto número de carácteres. 

Ejecute wc con la opción -w y /etc/crontab como argumento: 

wc -w /etc/crontab 

Lo anterior devolverá que el archivo /etc/crontab contiene cierto número de palabras. 

Ejecute wc con la opción -I y /etc/crontab como argumento: 

wc -1 /etc/crontab 

Lo anterior devolverá que el archivo /etc/crontab contiene cierto número de líneas. 

Ejecute wc con la opción -Ly /etc/crontab como argumento: 

wc -L /etc/crontab 

Lo anterior devolverá que la línea más larga del archivo /etc/crontab tiene cierto número de carácteres. 

Ejecute wc con la opción -c y /etc/crontab como argumento: 

wc -c /etc/crontab 

Lo anterior devolverá que el tamano del archivo /etc/crontab es de cierto número de bytes. 

26.2.5.2. Uso de cat. 

Cat es un programa que sirve para mostrar los contenidos de archivos de texto y para concatenar archivos en 
general. 

Ejecute cat para ver el contenido del archivo /etc/crontab: 

cat /etc/crontab 


Lo anterior devolverá algo similar a lo siguiente: 


SHELL=/bin/bash 

PATH=/sbin:/bin:/usr/sbin:/usr/bin 
MAILT0=root 

# For details see man 4 crontabs 

# Example of job definition: 

# ...minute (0 - 59) 

# | ...hour (0 - 23) 

# | | .- day of month (1 - 31) 

# | | | .-month (1 - 12) OR jan,feb,mar, apr ... 

#jjj| .- day of week (0 - 6) (Sunday=0 or 7) OR sun,mon,tue,wed,thu,fri,sat 

#11111 

****** command to be executed 


Ejecute lo siguiente para concatenar los contenidos de los contenidos de /etc/fstyab y /etc/crontab en un archivo 
denominado -/concatenados.txt: 
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cat /etc/fstab /etc/crontab > -/concatenados.txt 

Visualice el contenido del archivo -/concatenados.txt para validar lo anterior: 

cat -/concatenados.txt 


La salida puede ser similar a la siguiente: 


i i 
1 2 
0 0 

SHELL=/bin/bash 

PATH=/sbin:/bin:/usr/sbin:/usr/bin 
MAILT0=root 

# For details see man 4 crontabs 

# Example of job definition: 

# ---minute (0 - 59) 

# | .-. hour (0 - 23) 

# | | .- day of month (1 - 31) 

#||| .-month (1 - 12) OR jan,feb,mar,apr ... 

#jj|| .- day of week (0 - 6) (Sunday=0 or 7) OR sun,mon,tue,wed,thu,fri,sat 

#11111 

****** user-name command to be executed 


# 

# /etc/fstab 

# Created by anaconda on Wed Apr 15 19:14:49 2015 

# 

# Accessible filesystems, by reference, are maintained under '/dev/disk' 

# See man pages fstab(5), findfs(8), mount(8) and/or blkid(8) for more info 

# 

UUID=857b05d8-2ac4-47b8-ba0e-4b9bdlfdde06 / xfs defaults 

UUID=12c542d9-004e-4533-ba0e-728bb872551f /boot xfs defaults 

UUID=3006a3c3-c643-47b8-ba0c-f2e6d27eff0a swap swap defaults 


26.2.5.3. Uso de grep. 

Grep es un programa que se utiliza para discriminar cadenas de texto o expresiones regulares. 

Para mostrar sólo las lineas que contengan la cadena de carácteres root, ejecute grep con la expresión regular 
como primer argumento y /etc/crontab como segundo argumento: 

grep root /etc/crontab 


Lo anterior devolverá algo similar a lo siguiente: 

MAILTO=root 


Para hacer lo contrario y sólo visualizar las líneas que sin la cadena de carácteres root, ejecute grep con la 
opción -v, la expresión regular como primer argumento y /etc/crontab como segundo argumento: 


grep -v root /etc/crontab 


Lo anterior devolverá una salida similar a la siguiente: 
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SHELL=/bin/bash 

PATH=/sbin:/bin:/usr/sbin:/usr/bin 

# For details see man 4 crontabs 

# Example of job definition: 

# ...minute (0 - 59) 

# | .--hour (0 - 23) 

# | | .- day of month (1 - 31) 

# | | | .-month (1 - 12) OR jan,feb,mar, apr ... 

#jjj| .- day of week (0 - 6) (Sunday=0 or 7) OR sun,mon,tue,wed,thu,fri,sat 

#11111 

****** user-name command to be executed 


Lo anterior incluye también las lineas vacías. Para mostrar el mismo resultado sin líneas vacías, ejecute los 
mismo pero utilizando como subrutina sed con la opción -e (ejecutar) y ’/ A $/d' como argumentos, donde sed es 
un editor para filtrado y transformación de texto y / A $/d se refiere a líneas vacías: 


grep -v "root" /etc/crontab | sed -e '/A$/d' 


Lo anterior devolverá una salida similar a la siguiente: 


SHELL=/bin/bash 

PATH=/sbin:/bin:/usr/sbin:/usr/bin 

# For details see man 4 crontabs 

# Example of job definition: 

# ...minute (0 - 59) 

# | .--hour (0 - 23) 

# | | .- day of month (1 - 31) 

# | | | .-month (1 - 12) OR jan,feb,mar, apr ... 

# j j j | .- day of week (0 - 6) (Sunday=0 or 7) OR sun,mon,tue,wed,thu,fri,sat 

#11111 

****** user-name command to be executed 


26.2.5.4. Uso de head y tail. 

Head y tail son programas utilizados para mostrar u ocultar líneas al inicio o al final de un archivo de texto. 


Ejecute head con la opción -3 y /etc/crontab como argumento: 

head -3 /etc/crontab 

Head devolverá la siguiente salida, mostrando las 3 primeras líneas del archivo /etc/crontab. 

SHELL=/bin/bash 

PATH=/sbin:/bin:/usr/sbin:/usr/bin 
MAILTO=root 

Ejecute tail con la opción -3 y /etc/crontab como argumento: 

tail -3 /etc/crontab 

Tail devolverá la siguiente salida, mostrando las 3 últimas líneas del archivo /etc/crontab. 

#11111 

****** command to be executed 


26.2.5.5. Uso de sort. 
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Es posible hacer un ordenamiento de las líneas de texto simple utilizando sort. 

Ejecute sort con /etc/passwd como argumento con una subrutina que consiste en grep con 0 como argumento: 


sort /etc/passwd |grep 0 


Lo anterior devolverá como la salida el contenido del archivo /etc/passwd, ordenando las líneas por nombre, 
pero sólo mostrando aquellas líneas que incluyen el carácter 0. 


avahi-autoipd:x:170:170:Avahi IPv4LL Stack:/var/lib/avahi-autoipd:/sbin/nologin 

avahi:x:70:70:Avahi mDNS/DNS-SD Stack:/var/run/avahi-daemon:/sbin/nologin 

ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin 

fulano:x:500:500:Fulano de Tal:/home/fulano:/bin/bash 

games:x:12:100:games:/usr/games:/sbin/nologin 

gopher:x:13:30:gopher:/var/gopher:/sbin/nologin 

halt: x: 7 :0: halt: /sbin : /sbin/halt 

operator:x:11:0:operator:/root:/sbin/nologin 

root:x:0:0:root:/root:/bin/bash 

shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown 

sync : x: 5:0: sync : /sbin : /bin/sync 

uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin 


Ejecute sort con la opción -r, /etc/passwd como argumento y una subrutina que consiste en grep con 0 como 
argumento: 


sort -r /etc/passwd |grep 0 


Lo anterior devolverá como la salida el contenido del archivo /etc/passwd, ordenando las líneas por nombre, en 
orden inverso, pero sólo las líneas que incluyen el carácter 0. 


uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin 

sync : x: 5:0: sync : /sbin : /bin/sync 

shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown 

root:x:0:0:root:/root:/bin/bash 

operator:x:11:0:operator:/root:/sbin/nologin 

halt: x: 7 :0: halt: /sbin : /sbin/halt 

gopher:x:13:30:gopher:/var/gopher:/sbin/nologin 

games:x:12:100:games:/usr/games:/sbin/nologin 

fulano:x:500:500:Fulano de Tal:/home/fulano:/bin/bash 

ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin 

avahi:x:70:70:Avahi mDNS/DNS-SD Stack:/var/run/avahi-daemon:/sbin/nologin 
avahi-autoipd:x:170:170:Avahi IPv4LL Stack:/var/lib/avahi-autoipd:/sbin/nologin 


Lo ejecutado anteriormente, observe que los datos de cada línea son delimitados por el carácter: (dos puntos). 

26.2.5.6. Uso de cut. 

Cut se utiliza para definir delimitadores de columnas en líneas de texto simple y mostrar ciertas columnas en 
particular. 


Ejecute lo siguiente: 


grep 0 /etc/passwd | cut -d -fl 


El contenido del archivo /etc/passwd es mostrado, pero sólo las líneas que incluyen el carácter 0 y mostrando 
sólo la primera columna de datos del archivo, definiendo el carácter : (dos puntos) como delimitador entre las 
columnas. 
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root 

sync 

shutdown 

halt 

uucp 

operator 

games 

gopher 

ftp 

avahi 

avahi-autoipd 

fulano 


Ejecute lo siguiente: 


grep 0 /etc/passwd | cut -d -f3 


Se muestra el contenido del archivo /etc/passwd, pero sólo las líneas que incluyen el carácter 0 y sólo 
mostrando la tercera columna de datos del archivo, definiendo el carácter : (dos puntos) como delimitador entre 
las columnas. 


0 

5 

6 
7 

10 

11 

12 

13 

14 
70 
170 
500 


Ejecute: 


sort /etc/passwd | grep 0 | cut -d -fl 


Lo anterior muestra el contenido del archivo /etc/passwd, ordenando las líneas por nombre, pero sólo aquellas 
que contienen el carácter 0 y sólo mostrando la primera columna de datos, considerando que se utilizó el 
carácter: (dos puntos) como delimitador entre las columnas. 


avahi-autoipd 

avahi 

ftp 

fulano 

games 

gopher 

halt 

operator 

root 

shutdown 

sync 

uucp 


26.2.6. Enlaces físicos y simbólicos. 

Existen dos tipos de enlaces hacia archivos, los físicos (o duros) y los simbólicos (o blandos). Ambos permiten 
economizar espacio en el sistema de archivos cuando hay circunstancias en las cuales se necesita utilizar los 
mismos archivos o directorios en diversos lugares. 
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Los enlaces físicos sólo pueden apuntar hacia archivos dentro de una misma partición. Básicamente crean 
inodos que apuntan a un mismo archivo, es decir, se tiene un archivo con varios nombres. Sólo es posible ver 
hacia qué archivo apuntan consultando el número de inodo, ejecutando Is con la opción -i. Sólo se pueden 
crear enlaces físicos hacia archivos existentes. Si se borra el archivo original, éste prevalece gracias al enlace 
físico. 


Los enlaces simbólicos pueden hacia archivos y directorios en cualquier parte del sistema de archivos, sin 
importar en qué partición se encuentren. Son archivos especiales con una ruta hacia un archivo o directorio. 
Ejecutar Is con la opción -I puede mostrar hacia dónde apunta un enlace simbólico en particular. Se pueden 
crear enlaces simbólicos que apunten hacia archivos o directorios inexistentes. Si se borra el archivo original, el 
enlace simbólico simplemente apuntará hacia un archivo o directorio inexistente. 

Regrese al directorio de inicio. 


cd 


Genere el directorio cd -/pruebas-enlaces y cambia hacia éste. 


mkdir -/pruebas-enlaces ; cd -/pruebas-enlaces 


Genere un enlace simbólico que apunte hacia el archivo/etc/group: 


ln -s /etc/group . 


Visualice el resultado ejecutando Is con la opción -I: 


ls -1 


La salida debe devolver algo similar a lo siguiente: 


total 0 

lrwxrwxrwx 1 fulano fulano 21 jun 21 18:10 group -> /etc/group 


Copie el archivo /etc/hosts dentro del directorio -/pruebas-enlaces: 
cp /etc/hosts . 

Genere un enlace físico denominado hosts2 que apunte hacia el archivo hosts, ejecutando lo siguiente: 
ln hosts hosts2 

Visualice el resultado ejecutando Is con la opción -I: 
ls -1 


La salida debe devolver algo similar a lo siguiente: 


total 8 

lrwxrwxrwx 1 jbarrios jbarrios 21 jun 21 18:10 device.map -> /boot/grub/device.map 

-rw-r--r-- 2 jbarrios jbarrios 115 jun 21 18:13 hosts 

-rw-r--r-- 2 jbarrios jbarrios 115 jun 21 18:13 hosts2 
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Note que en la segunda columna, la correspondiente al número de inodos utilizados, hay un número 2 para los 
archivos hosts y hosts2. 

Para cotejar que efectivamente los inodos correspondientes de los archivos hosts y hosts2 tienen el mismo 
número, ejecute Is con la opción -i: 

ls -i 

La salida debe devolver algo similar a lo siguiente: 

4980841 device.map 4980842 hosts 4980842 hosts2 

Borre el archivo hosts. 


rm hosts 


Verifique que el archivo hosts ha desaparecido y que el archivo hosts2 permanece intacto. 


ls -1 


La salida debe devolver algo similar a lo siguiente: 


total 4 

lrwxrwxrwx 1 jbarrios jbarrios 21 jun 21 18:10 device.map -> /boot/grub/device.map 
-rw-r--r-- 1 jbarrios jbarrios 115 jun 21 18:13 hosts2 


También se pueden copiar junto con enlaces simbólicos ejecutando cp con la opción -s, del siguiente modo: 


cp -s hosts2 hosts 


Visualice el resultado ejecutando Is con la opción -I: 


ls -1 


La salida debe devolver algo similar a lo siguiente: 


total 8 

lrwxrwxrwx 1 jbarrios jbarrios 21 jun 21 18:10 device.map -> /boot/grub/device.map 

lrwxrwxrwx 1 jbarrios jbarrios 6 jun 21 18:28 hosts -> hosts2 

-rw-r--r-- 1 jbarrios jbarrios 115 jun 21 18:13 hosts2 


26.2.7. Programación de bucles. 

Regrese al directorio de inicio. 


cd 


Ejecute perl con la opción -e y el guión for($i=l;$i<10;$i++){print "$i\n";}, en el cual se genera la variable i que 
es igual a 1 y menor a 10 y a la cual se va sumando y devuelve una salida con el valor de i con retorno de 
carro. 
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perl -e 'for($i=l;$i<10;$i++){print "$i\n";}' 


Lo anterior devolverá una salida similar a la siguiente: 


1 

2 

3 

4 

5 

6 

7 

8 
9 


Modifique programa anterior y reemplace "$i\n" por "Número $i\n" del siguiente modo: 


perl -e 'for($i=l;$i<10;$i++){print "Número $i\n";}' 


Lo anterior devolverá una salida similar a la siguiente: 


Número 1 
Número 2 
Número 3 
Número 4 
Número 5 
Número 6 
Número 7 
Número 8 
Número 9 


Para la salida en un archivo, anada a lo anterior » ~/ texto.txt, lo cual redirigirá la salida hacia el archivo 
-/texto.txt: 


perl -e 'for($i=l;$i<10;$i++){print "Número $i\n";}' » -/texto.txt 

Lo anterior sólo devolverá el símbolo de sistema. Ejecute cat para visualizar el contenido del archivo -/texto.txt: 
cat -/texto.txt 


Lo anterior devolverá una salida similar a la siguiente y que corresponde al contenido del archivo ~/ texto.txt: 


Número 1 
Número 2 
Número 3 
Número 4 
Número 5 
Número 6 
Número 7 
Número 8 
Número 9 


Para hacer lo mismo que hizo con perl, pero utilizando bash, ejecute lo siguiente: 


for i in {1..9} 
do 

echo -e "Número $i" » ~/texto-con-bash.txt 
done 
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Lo anterior sólo regresa el símbolo de sistema. Ejecute cat para visualizar el contenido del archivo ~/texto-con- 
bash.txt, ejecute lo siguiente: 


cat ~/texto-con-bash.txt 


Lo anterior devolverá una salida similar a la siguiente y que corresponde al contenido del archivo ~/texto-con- 
bash.txt: 


Número 1 
Número 2 
Número 3 
Número 4 
Número 5 
Número 6 
Número 7 
Número 8 
Número 9 


A continuación aprenderá a utilizar funciones más avanzadas. En el siguiente caso usted creará respaldos de 
un conjunto de archivos de imágenes, asignando a cada uno un nombre distinto al que tenían en su directorio 
de origen. Primero creará un nuevo directorio: 


mkdir -/respaldos 


Ejecute las siguientes seis líneas: 


cd /usr/share/pixmaps/ 

for f in *.png 
do 

cp $f ~/respaldos/copia-$f 

done 

cd 


Lo anterior hará la copia en serie de los archivos dentro de /usr/share/pixmaps/ dentro de -/respaldos/ 
anteponiendo en el nombre de las copias la palabra «copia». Para ver el contenido del directorio -/respaldos/, 
ejecute lo siguiente: 


ls -/respaldos/ 


También es posible crear bucles leyendo datos a partir de archivos de texto simple. En el siguiente ejemplo se 
definirán dos variables ($hombre y $mujer), creando el archivo parejas.txt y usando los datos de éste y se 
ejecutará una rutina por cada conjunto de variables. 


cd 

echo "Juan Ana" » parejas.txt 
echo "Pedro Eva" » parejas.txt 
echo "Pablo Gaby" » parejas.txt 
echo "Jorge Bety" » parejas.txt 
echo "Pepe Sara" » parejas.txt 
while read hombre mujer 
do 

echo "$hombre es pareja de $mujer" 

echo "- 

done < parejas.txt 


26.2.8. Aliases. 

Regrese a su directorio de inicio. 
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cd 

Ejecute: 

touch algo-nuevo.txt 
touch otro-nuevo.txt 
cp algo-nuevo.txt otro-nuevo.txt 

Lo anterior creo los archivos algo-nuevo.txt y otro-nuevo.txt y se creó una copia de algo-nuevo.txt, sobre 
escribiendo, sin diálogo para confirmar, al archivo otro-nuevo.txt. 

Ejecute: 

alias cp="cp -i" 

cp algo-nuevo.txt otro-nuevo.txt 

Lo anterior creó un alias denominado cp, el cual corresponde a eejcutar cp con la opción -i (cp en modo 
interactivo), lo cual hace que se muestre un diálogo de confirmación antes de sobre-escribir un archivo. 

Para eliminar este alias, ejecute lo siguiente: 

unalias cp 

Ejecute lo siguiente para crear alias personalizado, denominado aliaspersonal: 

alias aliaspersonal="ls -llrt /etc |less" 

Lo anterior crea un alias que consiste en ejecutar Is con la opciones -llrt, sobre el directorio /etc y que además 
ejecutará como subrutina less. Ejecute aliaspersonal. 

aliaspersonal 


Lo anterior debe haber mostrado el contenido del directorio /etc, utilizando less para poder desplazar la 
pantalla. Para salir de less, pulse la tecla q. 

Los aliases creados perduran hasta que es cerrada la sesión del usuario. Para que cualquier alias sea 
permanente para un usuario en particular, hay que especificar éstos dentro del archivo -/.bashrc (CentOS, 
Fedora y Red Hat Enterprise Linux) o bien dentro del archivo -/. aliases (SUSE Linux Enterprise y openSUSE). 

Para ver la lista de aliases predeterminados del sistema, sólo ejecute alias sin argumentos. 


alias 


26.2.9. Apagado y reinicio de sistema. 

Puede omitir ejecutar los ejemplos de esta sección, salvo que quiera experimentar el apagado y reinicio del 
sistema. 

Para que el sistema finalice apropiadamente todos los servicios en ejecución, guarde en el sistema de archivos 
las consignaciones pendientes y desmonte de forma segura todos los sistemas de archivos, puede ejecutar 
reboot o bien povveroff. 
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Puede ejecutar reboot para reiniciar el sistema de inmediato. Ejemplo: 


reboot 


Reboot puede ser utilizado por usuarios regulares locales y su uso es controlado a través de PAM. 

Si requiere hacer un reinicio del sistema, con un lapso y emitiendo un aviso a los usuarios que estén en otras 
consolas locales del sistema, puede ejecutar shutdovvn con la opción -r y el número de minutos que quiera dar 
de tiempo antes de comenzar el proceso de reinicio. En el siguiente ejemplo el proceso de reinicio del sistema 
se realizará dentro de 5 minutos: 


shutdown -r 5 

Si ejecuta shutdovvn con la opción -r, sin más argumentos, de modo predeterminado el sistema reiniciará en 
un minuto, enviando un mensaje de advertencia a todos los usuarios conectados al sistema. 

Shutdovvn sólo puede ser utilizado por el usuario root. 

Puede ejecute povveroff para apagar el sistema de inmediato. Ejemplo: 

poweroff 


Al igual que reboot, povveroff puede ser utilizado por usuarios regulares y su uso es controlado a través de 

PAM. 

Si requiere hacer un apagado del sistema, con un lapso de tiempo y un aviso a los usuarios que estén 
conectados al sistema, ejecute shutdovvn con la opción -h y el número de minutos que quiera dar de tiempo 
antes de realizar el proceso de apagado. En el siguiente ejemplo, el proceso de apagado del sistema se 
realizará dentro de 5 minutos: 


shutdown -h 5 


Si ejecuta shutdovvn con la opción -h, sin más argumentos, de modo predeterminado el sistema se apagará en 
un minuto, enviando un mensaje de advertencia atodos los usuarios conectados al sistema. 

Puede ejecutar shutdovvn con la opción -c para cancelar el procesos de apagado o reinicio del sistema. 
Ejemplo: 


shutdown -c 


Recuerde que shutdovvn sólo puede ser utilizado por el usuario root. 

Continúe con el documento titulado «Compresión y descompresión de archivos.» 
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27. Compresión y descompresión de archivos. 

Autor: Joel Barrios Duehas 

Correo electrónico: darkshram en gmail punto com 

Sitio de Red: http://www.alcancelibre.org/ 


Creative Commons Reconocimiento-NoComercial-Compartirlgual 2.1 
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27.1. Introducción. 

Por favor, siga los procedimientos al pie de la letra. En varios ejemplos utilizará el carácter - (tilde), que es 
una forma de abreviar el directorio de inicio del usuario utilizado. 

27.1.1. Acerca de ZIP. 

ZIP es un formato de archivo simple, creado originalmente por Phil Katz, fundador de PKWARE, el cual 
comprime cada uno de los archivos que contiene de forma separada, lo cual permite recuperar cada uno de los 
archvios almacenados sin tener que leer el resto del archivo ZIP que los contiene, lo que permite un mejor 
rendimiento. Cada archivo puede ser almacenado sin compresión o con una amplia variedad de algoritmos de 
compresión, aunque el más utilizado y práctico es el algoritmo original de Phil Katz. 

27.1.2. Acerca de TAR. 

El formato de almacenamiento de archivos conocido como TAR o Tape ARchiver (archivador en cinta), fue 
disenado para el almacenamiento de archivos en cintas magnéticas. El formato se procesa de manera lineal, de 
modo que es necesario recorrer todo el archivo para poder poder extraer cualquier elemento que éste contenido 
en el archivo TAR. Actualmente está definido en los estándares POSIX.1-1998 y POSIX.1-2001 

27.1.3. Acerca de GZIP. 

El formato de compresión GZIP (GNU ZIP), creado por Mark Adler y Jean-loup Gailly, es una alternativa a los 
formatos LZW y otros algoritmos patentados que limitaban el uso del programa compress, hasta entonces lo 
más comúnmente utilizado en Unix. GZIP utiliza la biblioteca Zlib, la cual se basa sobre el algoritmo Deflate, 
que es una combinación del LZ77 y la codificación Huffman. Es importante senalar que GZIP sólo realiza la 
compresión de los archivos, el almacenamiento se realiza utilizando TAR o cualquier otro formato de 
almacenamiento de archivos. 

27.1.4. Acerca de BZIP2 

El formato de compresión BZIP2, desarrollado y mantenido por Julian Seward, utiliza los algoritmos de 
compresión de Burrows-Wheeler y el algoritmo de codificación de Huffman. Aunque el porcentaje de 
compresión de los archivos depende del contenido de éstos mismos, resulta una mejor alternativa a ZIP y GZIP, 
pero con un mayor consumo de memoria y recursos de sistema. 

27.1.5. Acerca de XZ. 
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El formato de compresión XZ, creado y mantenido por Lasse Collin, utiliza el algoritmo de compresión 
LZMA2, a través de la biblioteca liblzma. Tiene un mejor rendimiento que BZIP2 (consume menos memoria y 
recursos de sistema) con mejores tasas de compresión. Es el formato utilizado hoy en día para la compresión 
de archivos TAR de códigos fuente, aunque GZIP aún es el formato más utilizado a la fecha para distribución de 
código fuente de Software Libre. 

27.2. Procedimientos. 

Ingrese al sistema como el usuario root y asegúrese que estén instalados los paquetes tar, zip, unzip, gzip, 
bzip2 y xz. 

Ejecute lo siguiente si utiliza CentOS, Fedora™ o Red Hat™ Enterprise Linux: 

yum -y install tar zip unzip gzip bzip2 xz 
Ejecute lo siguiente si utiliza openSUSE™ o SUSE™ Linux Enterprise: 

yast -i tar zip unzip gzip bzip2 xz 
Al terminar, cierre la sesión del usuario root, ejecutando exit: 
exit 

27.2.1. Preparativos. 

Ingrese nuevamente al sistema como usuario regular (fulano). 

A fin de disponer de datos con los cuales experimentar, copie el directorio /usr/share/pixmaps dentro del 
directorio de inicio del usuario utilizado. 

cp -a /usr/share/pixmaps -/ 

27.2.2. Compresión y descompresión de archivos *.zip. 

Consulte el manual de zip ejecutando lo siguiente: 
man 1 zip 

Consulte el manual de unzip ejecutando lo siguiente: 
man 1 unzip 

Genere un archivo .zip ejecutando lo siguiente: 
zip -r foo.zip pixmaps/ 

Para mostrar la lista del contenido del archivo foo.zip, ejecute: 
unzip -1 foo.zip 
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Extraiga el contenido del archivo foo.zip dentro del directorio -/ejemplosl/, ejecutando lo siguiente: 
unzip foo.zip -d -/ejemplosl/ 

Si la salida le pregunta si desea sobre-escribir los archivos existentes, responda que si a todo pulsando la letra 
A (sobre-escriir todo) y la tecla ENTER. 

Extraiga el contenido del archivo foo.zip dentro del directorio -/ejemplosl/, pero sólo extrayendo los archivos 
del primer nivel con extensión *.png, ejecutando lo siguiente: 

unzip foo.zip -d -/ejemplosl/ *.png 

Si la salida le pregunta si desea sobre-escribir los archivos existentes, responda que si a todo pulsando la letra 
A (sobre-escriir todo) y la tecla ENTER. 

Extraiga el contenido del archivo foo.zip dentro del directorio -/ejemplosl/, pero sólo extrayendo los archivos 
del segundo nivel con extensión *.png, ejecutando lo siguiente: 

unzip foo.zip -d -/ejemplosl/ */*.png 

Si la salida le pregunta si desea sobre-escribir los archivos existentes, responda que si a todo pulsando la letra 
A (sobre-escriir todo) y la tecla ENTER. 

27.2.3. Creación y extracción de archivos *.tar. 

Consulte el manual de tar ejecutando lo siguiente: 
man 1 tar 

Genere un archivo .tar (sin compresión) ejecutando lo siguiente: 
tar cf foo.tar pixmaps/ 

Para mostrar la lista del contenido del archivo foo.tar, ejecute: 
tar tvf foo.tar 

Extraiga el contenido del archivo foo.tar dentro del directorio -/ejemplosl/, ejecutando lo siguiente: 
tar xvf foo.tar -C -/ejemplosl/ 

Extraiga el contenido del archivo foo.tar dentro del directorio -/ejemplosl/, pero sólo extrayendo los archivos 
con extensión *.png, ejecutando lo siguiente: 

tar xvf foo.tar -C -/ejemplosl/ --wildcards '*.png' 

27.2.4. Compresión y descompresión de archivos *.tar.gz. 

Genere un archivo .tar.gz (con compresión GZIP) ejecutando lo siguiente: 
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tar zcf foo.tar.gz pixmaps/ 

Para mostrar la lista del contenido del archivo foo.tar.gz, ejecute: 
tar ztvf foo.tar.gz 

Extraiga el contenido del archivo foo.tar.gz dentro del directorio -/ejemplosl/ ejecutando lo siguiente: 
tar zxvf foo.tar.gz -C -/ejemplosl/ 

Extraiga el contenido del archivo foo.tar.gz dentro del directorio -/ejemplosl/, pero sólo extrayendo los 
archivos con extensión *.png, ejecutando lo siguiente: 

tar zxvf foo.tar.gz -C -/ejemplosl/ --wildcards '*.png' 

27.2.5. Compresión y descompresión de archivos *.tar.bz2. 

Genere un archivo .tar.bz2 (con compresión BZip2) ejecutando lo siguiente: 
tar jcf foo.tar.bz2 pixmaps/ 

Para mostrar la lista del contenido del archivo foo.tar.bz2, ejecute: 
tar jtvf foo.tar.bz2 

Extraiga el contenido del archivo foo.tar.bz2 dentro del directorio -/ejemplosl/, ejecutando lo siguiente: 
tar jxvf foo.tar.bz2 -C -/ejemplosl/ 

Extraiga el contenido del archivo foo.tar.bz2 dentro del directorio -/ejemplosl/, pero sólo extrayendo los 
archivos con extensión *.png, ejecutando lo siguiente: 

tar jxvf foo.tar.bz2 -C -/ejemplosl/ --wildcards '*.png' 

27.2.6. Compresión y descompresión de archivos *.tar.xz. 

Genere un archivo .tar.xz (con compresión XZ) ejecutando lo siguiente: 
tar Jcf foo.tar.xz pixmaps/ 

Para mostrar la lista del contenido del archivo foo.tar.xz, ejecute: 
tar Jtvf foo.tar.xz 

Extraiga el contenido del archivo foo.tar.xz dentro del directorio -/ejemplosl/, ejecutando lo siguiente: 
tar Jxvf foo.tar.xz -C -/ejemplosl/ 
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Extraiga el contenido del archivo foo.tar.xz dentro del directorio -/ejemplosl/, pero sólo extrayendo los 
archivos con extensión *.png, ejecutando lo siguiente: 


tar Jxvf foo.tar.xz -C -/ejemplosl/ --wildcards '*.png' 


27.2.7. Tipos de respaldos 

Por lo general los respaldos se hacen sin compresión, a fin de que sean rápidos y consuman la menor cantidad 
de recursos de sistema posibles y sólo se utiliza compresión cuando se tiene un espacio muy limitado en el 
sistema de archivo, unidades de cinta u otras unidades de almacenamiento. 

Hay tres tipos de respaldos: 

• Completos: Se consideran de nivel 0. 

• Diferenciales: Se consideran de nivel 1. Consisten en respaldos que dependen de un respaldo 
completo para poder restaurar todos los datos, sólo archivando los archivos nuevos o que 
cambiaron respecto del último respaldo completo. Es decir, para restaurar los datos se requiere el 
último respaldo completo y el respaldo diferencial. Hoy en día se utilizan muy poco, salvo que el 
administrador del sistema sea poco experimentado o bien porque así es como lo prefiere, pues 
consumen mucho más espacio en el sistema de archivos que los respaldos incrementales. 

• Incrementales: Se consideran de nivel 1 cuando hay un solo respaldo completo antes de éste, 
de nivel 2 cuando hay un respaldo completo y un respaldo incremental antes de éste, de nivel 3 
cuando hay un respaldo completo y dos incrementales antes de éste y así sucesivamente. Son 
similares al respaldo diferencial, pero éstos pueden hacerse a partir de un respaldo completo y/o 
un diferencial y/o otros incrementales, restaurando los datos en secuencia, por lo cual permiten 
ahorrar el espacio disponible en el sistema de archivos. Es decir, para restaurar los datos, se 
requiere el último respaldo completo y uno o más respaldos incrementales. 

Un respaldo completo se puede realizar con tar, con las opciones cpf (crear archivo, preservar permisos, definir 
nombre del archivo), el nombre del archivo *.tar a crear, la opción -g (definir crear un archivo incremental en el 
nuevo formato de GNU) y el nombre del archivo con extensión *.snar (que proviene de la contracción de 
snapshot archive). Éste último es utilizado por tar para almacenar la información respecto de qué fue lo que se 
respaldó. La opción p es importante para crear y restaurar los respaldos, pues permite preservar los permisos y 
atributos originales de los datos. Si se omite esta opción, todo el contenido almacenado y restaurado sería 
propiedad del usuario root. 

27.2.8. Respaldo del sistema de archivos. 

Cambie al usuario root. A partir de este paso sólo podrá realizar los procedimientos con privilegios de 
root. 


su -1 

Genere el directorio /var/respaldos ejecutando lo siguiente: 
mkdir /var/respaldos 

En el siguiente ejemplo se creará un respaldo completo del directorio /usr/share/pixmaps, guardando los 
archivos de datos e incremental dentro de /var/respaldos. 

tar cpf /var/respaldos/completo.tar -g /var/respaldos/registro.snar /usr/share/pixmaps 
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Para crear un respaldo incremental, solo se define el nombre de un nuevo archivo, utilizando el mismo archivo 
*.snar. 


tar cpf /var/respaldos/incremental-l.tar -g /var/respaldos/registro.snar 
/usr/share/pixmaps 


Ejecute lo siguiente para crear un segundo respaldo incremental: 


tar cpf /var/respaldos/incremental-2.tar -g /var/respaldos/registro.snar 
/usr/share/pixmaps 


Ejecute lo siguiente para crear un tercer respaldo incremental: 


tar cpf /var/respaldos/incremental-3.tar -g /var/respaldos/registro.snar 
/usr/share/pixmaps 


Ejecute lo siguiente para restaurar los datos: 

tar xpf /var/respaldos/completo.tar -g /var/respaldos/registro.snar -C / 

tar xpf /var/respaldos/incremental-l.tar -g /var/respaldos/registro.snar -C / 

tar xpf /var/respaldos/incremental-2.tar -g /var/respaldos/registro.snar -C / 

tar xpf /var/respaldos/incremental-3.tar -g /var/respaldos/registro.snar -C / 


Los respaldos también se pueden hacer en múltiples volúmenes cuando el espacio en las unidades de 
almacenamiento es limitado. Se hacen de modo similar a los respaldos completos, pero anadiendo la opción 
-M, para indicar que se realizará en múltiples volúmenes y la opción -L, para indicar el tamafío del volumen en 
bytes. 

El siguiente ejemplo sólo es hipotético. Tiene poco sentido realizar éste sin una unidad de 
almacenamiento externo montada como /mnt/DISCO. Se muestra sólo con fines demostrativos. 

En el siguiente ejemplo se creará un respaldo de /usr/share/pixmaps en una unidad de almacenamiento 
externa, en cuatro partes de 4 GiB (4194304 bytes) cada una, asumiendo que /usr/share/pixmaps ocupa 
menos de 16 GiB (16777216 bytes) de espacio en el sistema de archivos y que la unidad de almacenamiento 
externo está montada en el directorio /mnt/DISCO/: 


tar cpf /mnt/DISCO/parteOl.tar -g /mnt/DISCO/registro.snar -M -L 4194304 
/usr/share/pixmaps 

tar cpf /mnt/DISC0/parte02.tar -g /mnt/DISCO/registro.snar -M -L 4194304 
/usr/share/pixmaps 

tar cpf /mnt/DISC0/parte03.tar -g /mnt/DISCO/registro.snar -M -L 4194304 
/usr/share/pixmaps 

tar cpf /mnt/DISC0/parte04.tar -g /mnt/DISCO/registro.snar -M -L 4194304 
/usr/share/pixmaps 


La restauración de los datos se hace de modo similar a la de los respaldos incrementales, pero anadiendo la 
opción -M para indicar que se trata de un respaldo de varios volúmenes. 
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tar xpf /mnt/DISCO/parteOl.tar \ 

-g /mnt/DISCO/registro.snar -M -C / 
tar xpf /mnt/DISCO/parte02.tar \ 

-g /mnt/DISCO/registro.snar -M -C / 
tar xpf /mnt/DISCO/parte03.tar \ 

-g /mnt/DISCO/registro.snar -M -C / 
tar xpf /mnt/DISCO/parte04.tar \ 

-g /mnt/DISCO/registro.snar -M -L -C / 

Al terminar los procedimientos, cierre la sesión de root. 

exit 

Continúe con el documento titulado «Gestión de procesos y trabajos». 
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28. Uso de Iscpu, Ismod, Ispci y Isusb. 
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28.1. Introducción. 

Es importante conocer las herramientas de sistema que sirven para examinar los componentes de sustento 
físico —hardware— ya que esta información resulta indispensable al momento de hacer diagnósticos y 
optimización del sistema. 

28.1.1. Equipamiento lógico necesario. 

Los paquetes module-init-tools, pciutils, usbutils y util-linux forman parte de la instalación estándar de todas las 
distribuciones de GNU/Linux pues se trata de paquetes obligatorios. 

Si CentOS 7 o Red Hat™ Enterprise Linux 7, ejecute lo siguiente para verificar e instalar actualizaciones 
disponibles: 


yum -y install kmod pciutils usbutils util-linux 


Si utiliza ALDOS 1.4, CentOS 5 y 6 o Red Hat™ Enterprise Linux 5 y 6, ejecute lo siguiente para verificar e 
instalar actualizaciones disponibles: 

yum -y install module-init-tools pciutils usbutils util-linux-ng 


Si utiliza openSUSE™ o SUSE™ Linux Enterprise 12, ejecute lo siguiente para verificar e instalar 
actualizaciones disponibles: 

yast -i kmod pciutils usbutils util-linux 


Si utiliza SUSE™ Linux Enterprise 11, ejecute lo siguiente para verificar e instalar actualizaciones disponibles: 
util-linux-ng 

yast -i module-init-tools pciutils usbutils util-linux 


28.2. Procedimientos: 

28.2.1. Uso de Ismod. 

Este programa carece de opciones y prescinde de utilizar argumentos. Muestra el estado de los módulos de 
núcleo de Linux mostrando un formato más fácil de entender que el contenido de /proc/modules. 
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Ejecute lo siguiente como root: 
lsmod 

La salida será similar a la siguiente y siempre será diferente en cada anfitrión: 


Module 

Size 

Used by 

nfsd 

281642 

13 

nfs_acl 

12742 

1 nfsd 

auth_rpcgss 

44285 

1 nfsd 

lockd 

89250 

1 nfsd 

sunrpc 

254807 

17 nfsd, nfs_acl, auth„rpcgss,lockd 

binfmt_misc 

17457 

1 

vboxnetadp 

25671 

0 

vboxnetflt 

27607 

0 

vboxdrv 

304524 

2 vboxnetadp,vboxnetflt 

uinput 

17568 

0 

coretemp 

13521 

0 

iTCO_wdt 

17949 

0 

bnx2 

84765 

0 

joydev 

17413 

0 

iTCO_vendor_support 

13420 

1 iTCO_wdt 

acpi„power_meter 

18124 

0 

dcdbas 

14829 

0 

i7core_edac 

27622 

0 

edac_core 

51597 

3 i7core_edac 

crc32c_intel 

12859 

0 

microcode 

23516 

0 


la primera columna muestra el nombre del módulo del núcleo de Linux utilizado. La segunda columna muestra 
el tamano del módulo en la memoria. La tercera columna muestra el número y nombre de otros módulos que 
están haciendo uso de ese módulo en particular. 

28.2.2. Uso de Ispci. 

Se trata de una herramienta que muestra la información acerca de las ranuras PCI en el sistema y los 
dispositivos conectados a éstas. 

De modo predeterminado muestra una breve lista de estos dispositivos. Ejecute lo siguiente: 
lspci 

la salida puede ser similar a la siguiente dependiendo del los dispositivos PCI del anfitrión: 
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00:00.0 Host bridge: Intel Corporation Core Processor DMI (rev 11) 

00:03.0 PCI bridge: Intel Corporation Core Processor PCI Express Root Port 1 (rev 11) 

00:08.0 System peripheral: Intel Corporation Core Processor System Management Registers (rev 11) 

00:08.1 System peripheral: Intel Corporation Core Processor Semaphore and Scratchpad Registers (rev 

11 ) 

00:08.2 System peripheral: Intel Corporation Core Processor System Control and Status Registers (rev 
11 ) 

00:08.3 System peripheral: Intel Corporation Core Processor Miscellaneous Registers (rev 11) 

00:10.0 System peripheral: Intel Corporation Core Processor QPI Link (rev 11) 

00:10.1 System peripheral: Intel Corporation Core Processor QPI Routing and Protocol Registers (rev 

11 ) 

00:la.0 USB Controller: Intel Corporation 5 Series/3400 Series Chipset USB2 Enhanced Host Controller 
(rev 05) 

00:lc.0 PCI bridge: Intel Corporation 5 Series/3400 Series Chipset PCI Express Root Port 1 (rev 05) 
00:ld.0 USB Controller: Intel Corporation 5 Series/3400 Series Chipset USB2 Enhanced Host Controller 
(rev 05) 

00:le.0 PCI bridge: Intel Corporation 82801 PCI Bridge (rev a5) 

00:lf.0 ISA bridge: Intel Corporation 3400 Series Chipset LPC Interface Controller (rev 05) 

00:lf.2 SATA controller: Intel Corporation 5 Series/3400 Series Chipset 6 port SATA AHCI Controller 
(rev 05) 

02:00.0 Ethernet controller: Broadcom Corporation NetXtreme II BCM5716 Gigabit Ethernet (rev 20) 
02:00.1 Ethernet controller: Broadcom Corporation NetXtreme II BCM5716 Gigabit Ethernet (rev 20) 
03:03.0 VGA compatible controller: Matrox Graphics, Inc. MGA G200eW WPCM450 (rev 0a) 
ff:00.0 Host bridge: Intel Corporation Core Processor QuickPath Architecture Generic Non-Core 
Registers (rev 04) 

ff:00.1 Host bridge: Intel Corporation Core Processor QuickPath Architecture System Address Decoder 
(rev 04) 

ff:02.0 Host bridge: Intel Corporation Core Processor QPI Link 0 (rev 04) 

ff:02.1 Host bridge: Intel Corporation Core Processor QPI Physical 0 (rev 04) 

ff:03.0 Host bridge: Intel Corporation Core Processor Integrated Memory Controller (rev 04) 

ff:03.1 Host bridge: Intel Corporation Core Processor Integrated Memory Controller Target Address 

Decoder (rev 04) 

ff:03.2 Host bridge: Intel Corporation Core Processor Integrated Memory Controller Test Registers (rev 
04) 

ff:03.4 Host bridge: Intel Corporation Core Processor Integrated Memory Controller Test Registers (rev 
04) 

ff:04.0 Host bridge: Intel Corporation Core Processor Integrated Memory Controller Channel 0 Control 
Registers (rev 04) 

ff:04.1 Host bridge: Intel Corporation Core Processor Integrated Memory Controller Channel 0 Address 
Registers (rev 04) 

ff:04.2 Host bridge: Intel Corporation Core Processor Integrated Memory Controller Channel 0 Rank 
Registers (rev 04) 

ff:04.3 Host bridge: Intel Corporation Core Processor Integrated Memory Controller Channel 0 Thermal 
Control Registers (rev 04) 

ff:05.0 Host bridge: Intel Corporation Core Processor Integrated Memory Controller Channel 1 Control 
Registers (rev 04) 

ff:05.1 Host bridge: Intel Corporation Core Processor Integrated Memory Controller Channel 1 Address 
Registers (rev 04) 

ff:05.2 Host bridge: Intel Corporation Core Processor Integrated Memory Controller Channel 1 Rank 
Registers (rev 04) 

ff:05.3 Host bridge: Intel Corporation Core Processor Integrated Memory Controller Channel 1 Thermal 
Control Registers (rev 04) 


Ejecute Ispci con la opción -m o -mm para mostrar la información en un formato de legado que puede ser 
interpretado por equipos antiguos y otros programas. Separa la información por campos delimitados por 
comillas dobles. 


lspci -mm 

La salida puede ser similar a la siguiente: 
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00:00.0 "Host bridge" "Intel Corporation" "Core Processor DMI" -rll "Dell" "Device 02a5" 

00:03.0 "PCI bridge" "Intel Corporation" "Core Processor PCI Express Root Port 1" -rll . 

00:08.0 "System peripheral" "Intel Corporation" "Core Processor System Management Registers" -rll "" 

00:08.1 "System peripheral" "Intel Corporation" "Core Processor Semaphore and Scratchpad Registers" 

-rll . . 

00:08.2 "System peripheral" "Intel Corporation" "Core Processor System Control and Status Registers" 

- rll . 

00:08.3 "System peripheral" "Intel Corporation" "Core Processor Miscellaneous Registers" -rll . 

00:10.0 "System peripheral" "Intel Corporation" "Core Processor QPI Link" -rll . 

00:10.1 "System peripheral" "Intel Corporation" "Core Processor QPI Routing and Protocol Registers" 

- rll . 

00:la.0 "USB Controller" "Intel Corporation" "5 Series/3400 Series Chipset USB2 Enhanced Host 
Controller" -r05 -p20 "Dell" "Device 02a5" 

00:lc.0 "PCI bridge" "Intel Corporation" "5 Series/3400 Series Chipset PCI Express Root Port 1" -r05 

00:ld.0 "USB Controller" "Intel Corporation" "5 Series/3400 Series Chipset USB2 Enhanced Host 
Controller" -r05 -p20 "Dell" "Device 02a5" 

00:le.0 "PCI bridge" "Intel Corporation" "82801 PCI Bridge" -ra5 -p01 . 

00:lf.0 "ISA bridge" "Intel Corporation" "3400 Series Chipset LPC Interface Controller" -r05 "Dell" 

"Device 02a5" 

00:lf.2 "SATA controller" "Intel Corporation" "5 Series/3400 Series Chipset 6 port SATA AHCI 
Controller" -r05 -p01 "Dell" "Device 02a5" 

02:00.0 "Ethernet controller" "Broadcom Corporation" "NetXtreme II BCM5716 Gigabit Ethernet" -r20 
"Dell" "Device 02a5" 

02:00.1 "Ethernet controller" "Broadcom Corporation" "NetXtreme II BCM5716 Gigabit Ethernet" -r20 
"Dell" "Device 02a5" 

03:03.0 "VGA compatible controller" "Matrox Graphics, Inc." "MGA G200eW WPCM450" -r0a "Dell" "Device 
02a5" 

ff:00.0 "Host bridge" "Intel Corporation" "Core Processor QuickPath Architecture Generic Non-Core 
Registers" -r04 "Intel Corporation" "Device 8086" 

ff:00.1 "Host bridge" "Intel Corporation" "Core Processor QuickPath Architecture System Address 
Decoder" -r04 "Intel Corporation" "Device 8086" 

ff:02.0 "Host bridge" "Intel Corporation" "Core Processor QPI Link 0" -r04 "Intel Corporation" "Device 
8086" 

ff:02.1 "Host bridge" "Intel Corporation" "Core Processor QPI Physical 0" -r04 "Intel Corporation" 

"Device 8086" 

ff:03.0 "Host bridge" "Intel Corporation" "Core Processor Integrated Memory Controller" -r04 "Intel 
Corporation" "Device 8086" 

ff:03.1 "Host bridge" "Intel Corporation" "Core Processor Integrated Memory Controller Target Address 
Decoder" -r04 "Intel Corporation" "Device 8086" 

ff:03.2 "Host bridge" "Intel Corporation" "Core Processor Integrated Memory Controller Test Registers" 

-r04 "Intel Corporation" "Device 8086" 

ff:03.4 "Host bridge" "Intel Corporation" "Core Processor Integrated Memory Controller Test Registers" 

-r04 "Intel Corporation" "Device 8086" 

ff:04.0 "Host bridge" "Intel Corporation" "Core Processor Integrated Memory Controller Channel 0 
Control Registers" -r04 "Intel Corporation" "Device 8086" 

ff:04.1 "Host bridge" "Intel Corporation" "Core Processor Integrated Memory Controller Channel 0 
Address Registers" -r04 "Intel Corporation" "Device 8086" 

ff:04.2 "Host bridge" "Intel Corporation" "Core Processor Integrated Memory Controller Channel 0 Rank 
Registers" -r04 "Intel Corporation" "Device 8086" 

ff:04.3 "Host bridge" "Intel Corporation" "Core Processor Integrated Memory Controller Channel 0 
Thermal Control Registers" -r04 "Intel Corporation" "Device 8086" 

ff:05.0 "Host bridge" "Intel Corporation" "Core Processor Integrated Memory Controller Channel 1 
Control Registers" -r04 "Intel Corporation" "Device 8086" 

ff:05.1 "Host bridge" "Intel Corporation" "Core Processor Integrated Memory Controller Channel 1 
Address Registers" -r04 "Intel Corporation" "Device 8086" 

ff:05.2 "Host bridge" "Intel Corporation" "Core Processor Integrated Memory Controller Channel 1 Rank 
Registers" -r04 "Intel Corporation" "Device 8086" 

ff:05.3 "Host bridge" "Intel Corporation" "Core Processor Integrated Memory Controller Channel 1 
Thermal Control Registers" -r04 "Intel Corporation" "Device 8086" 

Ejecute Ispci para mostrar un diagrama que incluye a todas las ranuras PCI, puentes, dispositivos y conexiones 
entre éstos: 

lspci -t 


La salida puede ser similar a la siguiente: 
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-+-[0000:ff]-+-00.0 
| +- 00.1 

i +-02.0 

i +-02.1 

j +-03.0 

| +-03.1 

i +-03.2 

! +-03.4 

j +-04.0 

i +-04.1 

i +-04.2 

i +-04.3 

j +-05.0 

i +-05.1 

i +-05.2 

j -05.3 

-[ 0000 : 00 ]-+- 00.0 


+-03.0-[01]■ 

+ -08.0 

+-08.1 

+-08.2 

+-08.3 

+- 10.0 

+- 10.1 

+-la.0 

+-1C.0-[02]■ 

I 

+-ld.0 
+-le.0-[03]■ 
+-lf.0 


-+- 00.0 

- 00.1 


Ejecute Ispci con las opción -v, -vv o -vvv para ver tres diferentes niveles de detalle. La salida será muy extensa 
en todos los casos. 

lspci -V 

Mostrar la salida de lo anterior sería desperdiciar espacio en este documento. 

Ejecute Ispci con la opción -n para mostrar los código de dispositivo como números en lugar de mostrar la lista 
de identidades PCI: 

lspci -n 


La salida puede ser similar a la siguiente: 
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00:00.0 0600 

8086 

dl30 (rev 11) 

00:03.0 0604 

8086 

dl38 (rev 11) 

00:08.0 0880 

8086 

dl55 (rev 11) 

00:08.1 0880 

8086 

dl56 (rev 11) 

00:08.2 0880 

8086 

dl57 (rev 11) 

00:08.3 0880 

8086 

dl58 (rev 11) 

00:10.0 0880 

8086 

dl50 (rev 11) 

00:10.1 0880 

8086 

dl51 (rev 11) 

00:la.0 0c03 

8086 

3b3c (rev 05) 

00:lc.0 0604 

8086 

3b42 (rev 05) 

00:ld.0 0c03 

8086 

3b34 (rev 05) 

00:le.0 0604 

8086 

244e (rev a5) 

00:lf.0 0601 

8086 

3bl4 (rev 05) 

00:lf.2 0106 

8086 

3b22 (rev 05) 

02:00.0 0200 

14e4 

163b (rev 20) 

02:00.1 0200 

14e4 

163b (rev 20) 

03:03.0 0300 

102b 

0532 (rev 0a) 

ff:00.0 0600 

8086 

2c50 (rev 04) 

ff:00.1 0600 

8086 

2c81 (rev 04) 

ff:02.0 0600 

8086 

2c90 (rev 04) 

ff:02.1 0600 

8086 

2c91 (rev 04) 

ff:03.0 0600 

8086 

2c98 (rev 04) 

ff:03.1 0600 

8086 

2c99 (rev 04) 

ff:03.2 0600 

8086 

2c9a (rev 04) 

ff:03.4 0600 

8086 

2c9c (rev 04) 

ff:04.0 0600 

8086 

2ca0 (rev 04) 

ff:04.1 0600 

8086 

2cal (rev 04) 

ff:04.2 0600 

8086 

2ca2 (rev 04) 

ff:04.3 0600 

8086 

2ca3 (rev 04) 

ff:05.0 0600 

8086 

2ca8 (rev 04) 

ff:05.1 0600 

8086 

2ca9 (rev 04) 

ff:05.2 0600 

8086 

2caa (rev 04) 

ff:05.3 0600 

8086 

2cab (rev 04) 


Otras opciones de Ispci se describen a detalle en el manual correspondiente al ejecutar lo siguiente: 


man 8 lspci 


28.2.3. Uso de Iscpu. 

Se trata de un programa que muestra la información acerca de la arquitectura de los CPU presentes en el 
sistema, mostrando el contenido de /proc/cpuinfo en un formato más fácii de leer. 


Ejecute lo siguiente: 


lscpu 


La salida será similar a la siguiente: 
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Architecture: 

X86_64 

CPU op-mode(s): 

32-bÌt, 64-bÌt 

Byte Order: 

Little Endian 

CPU(s): 

4 

On-ìine CPU(s) list: 

0-3 

Thread(s) per core: 

1 

Core(s) per socket: 

4 

Socket(s): 

1 

NUMA node(s): 

1 

Vendor ID: 

Genuinelntel 

CPU family: 

6 

Model: 

30 

Stepping: 

5 

CPU MHz: 

2394.086 

BogoMIPS: 

4788.17 

Virtualization: 

VT-X 

Lld cache: 

32K 

Lli cache: 

32K 

L2 cache: 

256K 

L3 cache: 

8192K 

NUMA nodeO CPU(s): 

0-3 


Otras opciones de Iscpu se describen a detalle en el manual correspondiente al ejecutar lo siguiente: 


man 1 lscpu 


28.2.4. Uso de Isusb. 

Se trata de un programa que muestra la lista de ranuras USB y los dispositivos conectadas a éstas. 
Ejecute lo siguiente: 


lsusb 


La salida será similar a la siguiente: 


Bus 001 Device 002: 
Bus 002 Device 002: 
Bus 001 Device 001: 
Bus 002 Device 001: 
Bus 001 Device 003: 
Bus 002 Device 003: 
Bus 002 Device 004: 
Bus 002 Device 005: 


ID 8087:0020 Intel Corp. Integrated Rate Matching Hub 
ID 8087:0020 Intel Corp. Integrated Rate Matching Hub 
ID ld6b:0002 Linux Foundation 2.0 root hub 
ID ld6b:0002 Linux Foundation 2.0 root hub 
ID 0624:0248 Avocent Corp. 

ID 0424:2514 Standard Microsystems Corp. USB 2.0 Hub 
ID 04f3:0103 Elan Microelectronics Corp. 

ID 15d9:0a4c Trust International B.V. USB+PS/2 Optical Mouse 


Ejecute lo siguiente para ver la lista de ranuras USB y los dispositivos conectadas a éstas en un diagrama 
jerárquico: 


lsusb -t 


La salida será similar a la siguiente: 
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Bus# 2 

'-Dev# 1 Vendor 0xld6b Product 0x0002 
'-Dev# 2 Vendor 0x8087 Product 0x0020 
'-Dev# 3 Vendor 0x0424 Product 0x2514 
|-Dev# 4 Vendor 0x04f3 Product 0x0103 

'-Dev# 5 Vendor 0xl5d9 Product 0x0a4c 

Bus# 1 

'-Dev# 1 Vendor 0xld6b Product 0x0002 
'-Dev# 2 Vendor 0x8087 Product 0x0020 
'-Dev# 3 Vendor 0x0624 Product 0x0248 


Ejecute lo siguiente para ver una muy extensa salida detallada: 


lsusb -v 


Mostrar la salida de lo anterior sería desperdiciar espacio en este documento. 


Otras opciones de Isusb se describen a detalle en el manual correspondiente al ejecutar lo siguiente: 


man 8 lsusb 
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29. Gestión de procesos y trabajos. 

Autor: Joel Barrios Duehas 

Correo electrónico: darkshram en gmail punto com 

Sitio de Red: http://www.alcancelibre.org/ 


Creative Commons Reconocimiento-NoComercial-Compartirlgual 2.1 


© 1999-2016 Joel Barrios Duenas. Usted es libre de copiar, distribuir y comunicar públicamente la obra y hacer obras derivadas bajo las condiciones siguientes: a) 
Debe reconocer y citar al autor original. b) No puede utilizar esta obra para fines comerciales (incluyendo su publicación, a través de cualquier medio, por entidades 
con fines de lucro). c) Si altera o transforma esta obra o genera una obra derivada, sólo puede distribuir la obra generada bajo una licencia idéntica a ésta. Al 
reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. Alguna de estas condiciones puede no aplicarse si se obtiene el 
permiso del titular de los derechos de autor. Los derechos derivados de usos legítimos u otras limitaciones no se ven afectados por lo anterior. Licencia completa 
en castellano. La información contenida en este documento y los derivados de éste se proporcionan tal cual son y los autores no asumirán responsabilidad alguna 
si el usuario o lector hace mal uso de éstos. 


29.1. Introducción. 

En este documento aprenderá el uso de free, jobs, bg, fg, kill, killall, ps, top y taskset. 

Un PID o identidad de proceso, es un decimal entero que especifica un proceso o un grupo de procesos. Todos 
los procesos que se ejecuten en un sistema pueden ser terminados o aniquilados utilizando ki11 o bien killalI. 
excepto por el proceso con PID 1, el cual corresponde siempre a /sbin/init. 

Un Job ID o identidad de trabajo, identifica un trabajo o grupo de trabajos que se ejecutan en segundo plano. 
Puede utilizar ki11 para terminar o aniquilar los trabajos originados de una misma consola o intérprete de 
mandatos en ejecución. 

Los trabajos se gestionan a través de bg, fg y jobs. 

Los procesos se terminan normalmente con SIGTERM (número de senal 15) o bien se aniquilan con SIGXILL 
(número de senal 9), utilizando kill o killall. 

29.2. Procedimientos. 

Ingrese al sistema como root. 

Si utiliza CentOS 7, Fedora™ o Red Hat™ Enterprise Linux 7, ejecute lo siguiente: 


yum -y install psmisc procps-ng top util-linux-ng 


Si utiliza ALDOS 1.4, CentOS 6 o Red Hat™ Enterprise Linux 6, ejecute lo siguiente: 


yum -y install psmisc procps top util-linux-ng 


Si utiliza openSUSE™ o SUSE™ Linux Enterprise, ejecute lo siguiente: 

yast -i procps psmisc util-linux 

Cierre la sesión como root e ingrese nuevamente al sistema como usuario regular (fulano) o bien ejecute lo 
siguiente: 

su -1 fulano 
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29.2.1. Uso de free. 

Se trata de una herramienta que muestra un resumen fácil de entender del contenido de /proc/meminfo. 
Muestra la cantidad de memoria utilizadas y disponible en el sistema. 

De modo predeterminado free muestra la información en escala de KiB. Ejecute lo siguiente: 

f ree 

Lo anterior debe devolver una salida similar a la siguiente: 


total used free shared buffers cached 

Mem: 2956352 2752032 204320 0 159592 1509388 

-/+ buffers/cache: 1083052 1873300 

swap: 6291448 167468 6123980 


Ejecute lo siguiente para ver la la salida en MiB: 


free -m 


Lo anterior debe devolver una salida similar a la siguiente. 



total 

used 

f ree 

shared 

buffers 

cached 

Mem: 

2887 

2712 

174 

0 

156 

1487 

-/+ 

buffers/cache: 

1068 

1818 




Swap 

: 6143 

163 

5980 





La interpretación de ésta última salida indica lo siguiente: 


• Hay un total de 2887 MiB de memoria física. 

• Están en uso un total de 2712 MiB y hay 174 MiB libres. 

• De lo anterior 156 MiB corresponden a búferes y 1487 MiB corresponden a memoria cache. 

• Si a la memoria utilizada (2712) se le resta la memoria de los búferes y se le suma la memoria 
cache, el sistema en realidad tiene 1068 MiB en uso real y hay 1818 MiB disponibles para 
ejecutar más procesos. La memoria cache es reclamada automáticamente conforme lo requiere 
el sistema antes de comenzar a utilizar activamente la memoria de intercambio. 

• Hay 6142 MiB disponibles para memoria de intercambio. 

• Están en uso 163 MiB de mermoria de intercambio. 

• Hay 6154 MiB de memoria de intercambio disponible. 


Ejecute lo siguiente para mostrar lo anterior con una fila con los totales en MiB: 


free -mt 


Lo anterior debe devolver una salida similar a la siguiente. 


total 

used 

f ree 

shared 

buffers 

cached 

Mem: 2887 

2712 

174 

0 

156 

1487 

-/+ buffers/cache: 

1068 

1818 




Swap: 6143 

163 

5980 




Total: 9031 

2876 

6154 





Puede consultar otras opciones de free a través de su página de manual ejecutando lo siguiente: 
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man 1 free 

29.2.2. Uso de jobs, bg y fg. 

Ejecute sleep con el valor 600 (pausa por 600 segundos), a fin de utilizar éste como trabajo de ejemplo. 
sleep 600 

Pulse CTRL+Z, lo cual devolverá una salida similar a la siguiente: 


*Z 


[1]+ Detenido 

sleep 600 


Ejecute jobs para visualizar el trabajo detenido: 
jobs 

Lo anterior debe devolver la siguiente salida: 

[1]+ Detenido sleep 600 

Ejecute bg para reactivar el trabajo 1 en segundo plano: 
bg 1 

La salida deberá devolver lo siguiente: 

[1] + sleep 600 & 

Ejecute nuevamente sleep, con el valor 700 y un signo amperson (&) al final: 

sleep 700 & 

La salida devolverá algo similar a lo siguiente, indicando el número de trabajo (2) y el número de identidad de 
proceso (PID): 

[2] 3768 

Con lo anterior habrá enviado este trabajo directamente a segundo plano. 

Ejecute jobs para visualizar los trabajos en segundo plano: 


[1]- 

Ejecutando 

sleep 600 & 

[2] + 

Ejecutando 

sleep 700 & 


Ejecute fg con 1 como argumento para enviar a primer plano el primer trabajo: 
fg 1 
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Lo anterior hará que sleep 600 regrese a primer plano. 

Para terminar este último trabajo, pulse CTRL+C. 

29.2.3. Uso de ps, kill y killall. 

Ejecute ps con las opciones aux (todos los procesos en todas las terminales, orientado a usuarios e incluyendo 
todos los procesos con o sin un TTY), utilizando una tubería (|) con less para poder observar cómodamente la 
salida y los valores de las columnas USER, PID, %CPU, %MEM, VSZ, RSS, TTY, STAT, START, TIME y 
COMMAND. 

ps aux |less 

Ejecute de nuevo lo anterior pero utilizando una tubería (|) y grep para visualizar solamente los procesos cuyo 
nombre incluyan la cadena s/eep: 

ps aux |grep sleep 

Lo anterior le devolverá una salida similar a la siguiente: 


f ulano 

3768 

0.0 

0.0 100984 

568 

pts/2 

S 

11:50 

0:00 

sleep 700 

f ulano 

3820 

0.0 

0.0 103396 

832 

pts/2 

S+ 

11:51 

0:00 

grep --color=auto sleep 


La segunda columna corresponde al número de identidad de proceso (PID), determine el correspondiente al 
procesos sleep 700. 

ejecute kiII con este número de identidad de proceso, con la finalidad terminar éste de manera normal 

(SIGTERM). 

kill 3768 

Lo anterior devolverá la siguiente salida: 

[2]+ Terminado sleep 700 

Ejecute de nuevo sleep, ahora con 800 como argumento, con un signo amperson (&) al final, a fin de generar 
un nuevo trabajo en segundo plano. 

sleep 800 & 

Lo anterior debe devolver una salida similar a la siguiente: 

[1] 3820 

La forma más sencilla de terminar de manera normal (SIGTERM) un trabajo es ejecutando kiII con el número 
de trabajo precedido por un signo %, como argumentos. Ejemplo: 

kill %l 

La salida solo devolverá el símbolo de sistema. Si vuelve a pulsar la tecla ENTER, la salida será similar a la 
siguiente: 
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[1]+ Terminado sleep 800 

Ejecute de nuevo sleep con 850 como argumento y un signo amperson (&) al final para generar un nuevo 
trabajo en segundo plano. 

sleep 850 & 

Lo anterior debe devolver una salida similar a la siguiente: 

[1] 3830 

Ejecute nuevamente ps con las opciones aux, agregando una tubería y grep para visualizar en la salida 
solamente los procesos cuyo nombre incluyan la cadena sleep: 

ps aux |grep sleep 

Lo anterior le devolverá una salida similar a la siguiente: 


f ulano 

3830 

0.0 

0.0 100984 

564 

pts/2 

S 

11:54 

0:00 

sleep 850 

f ulano 

3835 

0.0 

0.0 103396 

828 

pts/2 

S+ 

11:56 

0:00 

grep --color=auto sleep 


Determine el número de identidad de proceso correspondiente al procesos sleep 850. 

Ejecute kiII con este número de identidad de proceso, correspondiente a sleep 850, con la finalidad aniquilar 
éste (SIGKILL). 

kill -9 3830 

Lo anterior debe devolver la siguiente salida: 

[1]+ Terminado (killed) sleep 850 

Ejecute lo siguiente para generar dos nuevos trabajos en segundo plano: 

sleep 600 & sleep 700 & 

Lo anterior devolverá algo similar a lo siguiente: 

[1] 3924 

[2] 3925 

Ejecute jobs para visualizar ambos trabajos: 
jobs 

Lo anterior deberá devolver la siguiente salida: 


[1]- 

Ejecutando 

sleep 600 & 

[2] + 

Ejecutando 

sleep 700 & 
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Ejecute ps, con la opción -j, para visualizar los números de identidad de proceso (PID) de estos trabajos: 


ps -j 


Lo anterior debe devolver una salida similar a la siguiente: 


PID 

PGID 

SID 

TTY 

TIME 

CMD 

3624 

3624 

3624 

pts/2 

00:00:00 

bash 

3924 

3924 

3624 

pts/2 

00:00:00 

sleep 

3925 

3925 

3624 

pts/2 

00:00:00 

sleep 

3937 

3937 

3624 

pts/2 

00:00:00 

ps 


Ejecute killalI con la cadena «sleep» como argumento, a fin de terminar de manera normal de todos los 
procesos denominados sleep. 


killall sleep 


Lo anterior deberá devolver la siguiente salida: 


[1]- 

Terminado 

sleep 600 

[2] + 

Terminado 

sleep 700 


Ejecute lo siguiente para generar dos nuevos trabajos en segundo plano: 


sleep 800 & sleep 900 & 


Lo anterior devolverá algo similar a lo siguiente: 


[1] 3949 

[2] 3950 


Ejecute jobs para visualizar ambos trabajos: 
jobs 

Lo anterior deberá devolver la siguiente salida: 


[1]- 

Ejecutando 

sleep 800 & 

[2] + 

Ejecutando 

sleep 900 & 


Ejecute ps, con la opción -j, para visualizar lo números de identidad de proceso (PID) de estos trabajos: 
ps -j 


Lo anterior debe devolver una salida similar a la siguiente: 


PID 

PGID 

SID 

TTY 

TIME 

CMD 

3624 

3624 

3624 

pts/2 

00:00:00 

bash 

3949 

3949 

3624 

pts/2 

00:00:00 

sleep 

3950 

3950 

3624 

pts/2 

00:00:00 

sleep 

3956 

3956 

3624 

pts/2 

00:00:00 

ps 
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Ejecute killall, con la opción -s y el valor 9, junto con la cadena «sleep» como argumento, a fin de aniquilar 
(terminación anormal) de todos los procesos denominados sleep. 


killall -s 9 sleep 


Lo anterior deberá devolver la siguiente salida: 


[1]- 

Terminado (killed) 

sleep 800 

[2] + 

Terminado (killed) 

sleep 900 


29.2.4. Uso de nice y renice. 

Ejecute tar con las opciones jcf para generar el archivo pixmaps.tar.bz2 con el contenido del directorio 
/lib/modules, ejecutando lo siguiente: 


tar jcf modulos.tar.bz2 /lib/modules 


Al terminar utilice time para cuantificar la ejecución de tar con las opciones jxf para descomprimir el archivo 
modulos.tar.bz2. El objetivo será cuantificar la descompresión con la prioridad de planificación 0 (valor 
predeterminado del sistema), la cual permite utilizar los recursos que regularmente permite utilizar el sistema al 
usuario. 


time tar jxf modulos.tar.bz2 


La salida debe devolver algo similar a lo siguiente: 


real 0ml3.237s 
user 0ml2.491s 
sys 0ml.824s 


Ejecute nuevamente time con nice para ejecutar tar con las opciones jxf para descomprimir el archivo 
modulos.tar.bz2. El objetivo será realizar la descompresión cambiando la prioridad de planificación a 10 —valor 
predeterminado de nice — a fin de utilizar menos recursos de sistema. 


time nice -n +10 tar jxf modulos.tar.bz2 


La salida debe devolver algo similar a lo siguiente. 


real 0ml3.638s 
user 0ml2.947 s 
sys 0ml.908s 


Los resultados deberán ser ligeramente mayores que la ejecución con el valor predeterminado de prioridad de 
planificación (0). 

Ejecute nice con la opción -n y el valor 19, para ejecutar tar con las opciones jxf, con la menor prioridad 
posible, para descomprimir el archivo modulos.tar.bz2. El objetivo será realizar la descompresión cambiando la 
prioridad de planificación a 10 (valor predeterminado de nice), a fin de utilizar menos recursos de sistema. 


time nice -n +20 tar jxf modulos.tar.bz2 


La salida debe devolver algo similar a lo siguiente. 
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real 0ml3.918s 
user 0ml3.045s 
sys 0ml.875s 


Los resultados deberán ser sensiblemente mayores que la ejecución con el valor predeterminado de prioridad 
de planificación (0). 


El usuario regular solo pude definir valores de prioridad de planificación del 0 al 19, prioridad de planificación 
predeterminada a prioridad de planificación menos favorable. Los valores negativos, del -1 al -20, que son los 
más favorables, sólo los pude utilizar root. 


Ejecutando su con la opción -c, con la cual se indicará entre comillas cualquier cosa para ser ejecutada como 
root, repita lo anterior pero con valor -20 para nice. 


su -c "time nice -n -20 tar jxf modulos.tar.bz2" 


Lo anterior solicitará se ingrese la clave de acceso de root y devolverá una salida similar a la siguiente: 


real 0ml3.328s 
user 0ml2.834s 
sys 0ml.978s 


Los resultados deberán ser sensiblemente inferiores que la ejecución con el valor predeterminado de prioridad 
de planificación (0). 

Lo anterior generará un directorio denominado lib dentro del directorio de inicio del usuario, pero éste es 
propiedad de root, por lo cual el usuario regular será incapaz de eliminar. Elimine éste antes de continuar o bien 
se va a repetir procedimientos. 


su -c "rm -fr /home/fulano/lib" 


Renice sirve para cambiar la prioridad de planificación de procesos en ejecución por número de proceso, 
usuario o grupo. Los valores de prioridad de planificación se pueden visualizar utilizando ps con las opciones 
alx (todos los procesos en todas las terminales, en formato largo e incluyendo todos los procesos con o sin un 
TTY, respectivamente). Ejecute lo siguiente: 


ps alx |less 


Lo anterior mostrará las columnas F, UID, PID, PPID, PRI, Nl, VSZ, RSS, VVCHAN, STAT, TTY, TIME y 
COMMAND. Los valores de prioridad planificada corresponden a la sexta columna (Nl). Para salir pulse la tecla 

q 

El siguiente ejemplo cambia la prioridad de planificación a -10 al proceso que en el ejemplo corresponde al PID 
45678: 


su -c "renice -n -10 -p 45678" 


El siguiente ejemplo cambia la prioridad de planificación a -10 a todos los procesos del usuario fulano: 


su -c "renice -n -10 -u fulano" 


El siguiente ejemplo cambia la prioridad de planificación a -10 a todos los procesos del grupo desarrollo: 
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su -c "renice -n -10 -g desarrollo" 

El siguiente ejemplo cambia la prioridad de planificación a -10 al procesos 34567 del usuario fulano: 

su -c "renice -n -10 -p 34567 -u fulano" 

29.2.5. Uso de taskset. 

Cambie al usuario root. A partir de este paso sólo podrá realizar los procedimientos con privilegios de 
root. 


Taskset sólo tiene sentido utilizarlo cuando se dispone de más de un CPU lógico en el sistema. Ejecute nproc 
para determinar el número de CPUs lógicos en el sistema: 


nproc 


Lo anterior sólo devolverá el número de CPUs lógicos del sistema. 


Ejecute Iscpu para obtener información más detallada: 
lscpu 


Asumiendo que el sistema dispone de dos núcleos lógicos, lo anterior puede devolver una salida similar a la 
siguiente: 


Architecture: 

Ì686 

CPU op-mode(s): 

32-bit 

Byte Order: 

Little Endian 

CPU(s): 

2 

On-ìine CPU(s) list: 

0,1 

Thread(s) per core: 

1 

Core(s) per socket: 

2 

Socket(s): 

1 

Vendor ID: 

Genuinelntel 

CPU family: 

6 

Model: 

14 

Stepping: 

12 

CPU MHz: 

1200.000 

BogoMIPS: 

3200.10 

Lld cache: 

32K 

Lli cache: 

32K 

L2 cache: 

1024K 


Lo anterior representa un resumen del contenido del archivo /proc/cpuinfo, que también puede consultarse 
ejecutando lo siguiente: 


less /proc/cpuinfo 


Puede utilizar taskset para establecer u obtener la afinidad de CPU de un proceso a través de su PID o bien 
para ejecutar un nuevo procesos con una afinidad de CPU arbitraria. La afinidad de CPU es una propiedad de 
planificador del núcleo de Linux que vincula un procesos a un conjunto de CPUs en el sistema. Este planificador 
se encargará de que se mantenga la afinidad de CPU y que el proceso sólo se ejecute en el CPU o en los 
CPUs especificados. Cabe senalar que de manera nativa el planificador del núcleo de Linux incluye soporte 
para afinidad natural, la cual consiste en que el planificador intentará mantener los procesos en el mismo CPU 
tanto como sea práctico para mantener un buen desempeno en el sistema, por lo cual la manipulación de la 
afinidad de CPU sólo es útil para ciertas tareas y aplicaciones. 


307 




Joel Barrios Duenas 


Configuración de Servidores con GNU/Linux 


Cabe senalar que taskset siempre devolverá un error si se especifica una máscara de bit incorrecta o bien un 
CPU inexistente. 

La afinidad de CPU se representa a través de una máscara de bit ( bitmask ), donde el bit de menor valor 
corresponde al primer CPU lógico y el bit mayor corresponde al último CPU lógico. Las máscaras de bit se 
representan en hexadecimal: 

0x00000001 


Corresponde al CPU #0 


0x00000002 


Corresponde al CPU #1 


0x00000003 


Corresponde los CPUs #0 y #1 


OxFFFFFFFF 


Corresponde a todos los CPUs (#0 hasta #31) 

Para iniciar un nuevo proceso con una afinidad de CPU en particular, se utiliza la siguiente sintaxis: 
taskset mascara mandato 

Ejemplo: 

taskset 0x00000001 tar jcf modulos.tar.bz2 /lib 

Ejecute taskset con la opción -p para indicar que se utilizará un PID existente y el número de PID como 
argumento ara obtener la afinidad de CPU de un procesos en ejecución: 

taskset -p pid 

Ejemplo: 

taskset -p 34567 

Ejecute taskset con la opción -p para indicar que se utilizará un PID existente, la mascara de afinidad de CPU 
deseada y el número de PID como argumentos ara cambiar la afinidad de CPU de un procesos en ejecución: 
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taskset -p mascara pid 


Ejemplo: 


taskset -p 0x00000001 34567 


Si se dificulta el uso de máscaras de bit en hexadecimal, también es posible utilizar la opción -c y una lista 
numérica de CPUs lógicos, donde 0 corresponde al primer CPU, 1 corresponde al segundo CPU lógico, 2 
corresponde al tercer CPU lógico y así sucesivamente. 

taskset -c -p lista pid 


Ejemplo: 


taskset -c -p 1 34567 


También es posible especificar varios CPU de manera simultánea, definiendo una lista de éstos separada por 
comas y que también permite definir rangos. Ejemplos: 


taskset -c 0,1 tar jcf modulos.tar.bz2 /lib 
taskset -c -p 0,2 34567 
taskset -c -p 4-7 34567 


Al terminar los procedimientos, cierre la sesión de root. 

29.2.6. Uso de top. 

Top es una herramienta que proporciona una visualización continua y en tiempo real de los procesos activos en 
un sistema, como una lista que de modo predeterminado lo hace de acuerdo al uso del CPU. Puede ordenar la 
lista por uso de memoria y tiempo de ejecución. 


top - 12:23:18 up 50 min, 5 users, load average: 0.01, 0.08, 0.12 
Tasks: 180 total, 1 running, 179 sleeping, 0 stopped, 0 zombie 
Cpu(s): 1.3%us, 0.8%sy, 0.0%ni, 97.3%id, 0.5%wa, 0.0%hi, 0.0%si, 0.0%st 

Mem: 1790656k total, 1456180k used, 334476k free, 43692k buffers 

5wap: 6287384k total, 0k used, 6287384k free, 570840k cached 


I 


| PID U5ER 

PR 

NI 

VIRT 

RES 

5HR 

5 S.CPU SflEN 

TIME+ COMMAND 

2532 jbarrios 

20 

0 

670m 

19m 

14m 

S 

2.3 

1.1 

0:06.09 gnome-terminal 

1538 root 

20 

0 

168m 

49m 

16m 

s 

1.0 

2.8 

2:35.27 Xorg 

1915 root 

20 

0 

47360 

776 

452 

s 

0.3 

0.0 

0:00.30 udisks-daemon 

2947 jbarrios 

20 

0 

15124 

1224 

856 

R 

0.3 

e.i 

0:00.10 top 

2952 jbarrios 

20 

0 

216m 

3412 

2700 

D 

0.3 

0.2 

0:00.01 gnome-screensho 

1 root 

20 

0 

21512 

1504 

1216 

S 

0.0 

0.1 

0:01.27 init 

2 root 

20 

0 

0 

0 

0 

s 

0.0 

0.0 

0:00.00 kthreadd 

3 root 

20 

0 

0 

0 

0 

s 

.0.0 

0.0 

0:00.34 ksoftirqd/0 

6 root 

RT 

0 

0 

0 

0 

s 

^0.0 

0.0 

0:00.00 migration/0 

7 root 

RT 

0 

0 

e 

0 

s 

0.0 

0.0 

0:00.44 watchdog/0 

8 root 

RT 

0 

0 

e 

0 

s 

0.0 

0.0 

0:00.00 migration/1 

10 root 

20 

0 

e 

e 

0 

s 

0.0 

0.0 

0:00.68 ksoftirgd/l 

12 root 

RT 

0 

e 

e 

e 

s 

0.0 

0.0 

0:00.01 watchdog/l 

13 root 

e 

-20 

e 

e 

0 

s 

0.0 

0.0 

0:00.00 cpuset 

14 root 

0 

-20 

e 

e 

o 

s 

0.0 

0.0 

0:00.00 khelper 

15 root 

20 

0 

o 

0 

o 

s 

0.0 

0.0 

0:00.00 kdevtmpfs 

16 root 

0 

-20 

0 

0 

0 

s 

0.0 

0.0 

0:00.00 netns 
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Para ordenar la lista de procesos por orden de uso de memoria, pulse SHIFT+M. Para ordena la lista de 
procesos por orden de tiempo de ejecución, pulse SHIFT+T. Para invertir el orden de la lista, pulse SHIFT+R. 
Para activar o bien desactivar, la visualización por hilos, pulse SHIFT+H. Para ordenar de nuevo la lista de 
procesos por orden de uso de CPU, pulse SHIFT+P. 

Para mostrar los procesos de un usuario en específico, pulse la tecla u y defina a continuación el nombre del 
usuario. 

Para terminar o aniquilar cualquier proceso, pulse la tecla k y defina a continuación el número de identidad de 
proceso que corresponda y luego la senal a utilizar (9 o 15). 

Para cambiar la prioridad de planificación de cualquier proceso, pulse la tecla r y a continuación defina el 
número de identidad de proceso que corresponday luego el valor de prioridad de planificación deseado. 

Pulse la tecla h para ver el la ayuda completa de top. 
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30.1. Introducción. 

30.1.1. Acerca de Isof. 

Lsof significa «listar archivos abiertos» (list open files). Es utilizado ampliamente en sistemas operativos tipo 
POSIX para hacer reportes de archivos y los procesos que están utilizando a éstos. Se puede utilizar para 
revisar que procesos están haciendo uso de directorios, archivos ordinarios, tuberías (p/pes), zócalos de red 
(sockets) y dispositivos. Uno de los principales usos de determinar que procesos están haciendo uso de 
archivos en una partición cuando esta no se puede desmontar. Lsof fue desarrollado por Vic Abell, quien 
alguna vez fue director del Centro de Cómputo de la Universidad de Purdue. 

30.2. Equipamiento lógico necesario. 

30.2.1. En CentOS, Fedora™ y Red Hat™ Enterprise Linux. 

Para instalar Isof, ejecute lo siguiente: 


yum -y install lsof 


30.2.2. En openSUSE™ y SUSE™ Linux Enterprise. 

Para instalar Isof, ejecute lo siguiente: 


yast -i lsof 


30.3. Procedimientos. 

El manual completo de Isof puede consultarse ejecutando lo siguiente: 

man 8 lsof 

Para ver todos los procesos que utilizan el sistema de archivos en general, ejecute Isof sin opciones u 
argumentos: 

lsof 

En ejemplo de la salida típica sería como la siguiente: 
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COMMAND 

PID 

USER 

FD 

TYPE 

DEVICE 

SIZE 

NODE 

NAME 

init 

1 

root 

cwd 

DIR 

9,3 

4096 

2 

/ 

init 

1 

root 

rtd 

DIR 

9,3 

4096 

2 

/ 

init 

1 

root 

txt 

REG 

9,3 

38620 

146434 

/sbin/init 

init 

1 

root 

mem 

REG 

9,3 

125736 

175507 

/lib/ld-2.5.so 

init 

1 

root 

mem 

REG 

9,3 

1602164 

175514 

/lib/i686/nosegneg/libc- 

2.5.so 

init 

1 

root 

mem 

REG 

9,3 

16428 

175518 

/lib/libdl-2.5.so 

init 

1 

root 

mem 

REG 

9,3 

93508 

175677 

/lib/libselinux.so.1 

init 

1 

root 

mem 

REG 

9,3 

242880 

175573 

/lib/libsepol.so.1 

init 

1 

root 

10u 

FIFO 

0,15 


1543 

/dev/initctl 


Para visualizar más cómodamente esta salida, utilice less o more como subrutinas. Ejemplo: 


lsof | less 


Puede especificarse que se muestren todos los procesos desde un directorio en particular, solamente 
especificando este luego de Isof. En el siguiente ejemplo se solicita a Isof mostrar todos los procesos que 
estén haciendo uso de algo dentro de /var. 


lsof /var 


La salida de la anterior puede ser similar a la siguiente: 


COMMAND 

PID 

USER 

FD 

TYPE 

DEVICE 

SIZE 

NODE 

NAME 

auditd 

2247 

root 

5w 

REG 

9,1 

408058 

5341208 

/var/log/audit/audit.log 

syslogd 

2281 

root 

lw 

REG 

9,1 

1134708 

17006593 

/var/log/messages 

syslogd 

2281 

root 

2w 

REG 

9,1 

12461 

17006594 

/var/log/secure 

syslogd 

2281 

root 

3w 

REG 

9,1 

9925 

17006595 

/var/log/maillog 

syslogd 

2281 

root 

4W 

REG 

9,1 

3339 

17006598 

/var/log/cron 

syslogd 

2281 

root 

5w 

REG 

9,1 

0 

17006596 

/var/log/spooler 

syslogd 

2281 

root 

6w 

REG 

9,1 

916 

17006597 

/var/log/boot.log 

named 

2350 

named 

cwd 

DIR 

9,1 

4096 

16351240 

/var/named/chroot/var/named 

named 

2350 

named 

rtd 

DIR 

9,1 

4096 

16351236 

/var/named/chroot 

named 

2350 

named 

9r 

CHR 

1,8 


16351246 

/var/named/chroot/dev/random 

rpc.statd 

2407 

root 

cwd 

DIR 

9,1 

4096 

15433729 

/var/lib/nfs/statd 

rpc.statd 

2407 

root 

8w 

REG 

9,1 

5 

25591831 

/var/run/rpc.statd.pid 


Si se quiere mostrar solamente el archivo utilizado por un procesos en particular, se utiliza la opción -p seguida 
del número de proceso. En el siguiente ejemplo se solicita a Isof mostrar los archivos utilizados por el proceso 
2281 que arbitrariamente se ejecuta en un sistema: 


lsof -p 2281 


Si hubiera un proceso 2281, la salida podría verse como la siguiente: 


COMMAND 

PID 

USER 

FD 

TYPE 

DEVICE 

SIZE 

NODE 

NAME 

syslogd 

2281 

root 

cwd 

DIR 

9,3 

4096 

2 

/ 

syslogd 

2281 

root 

rtd 

DIR 

9,3 

4096 

2 

/ 

syslogd 

2281 

root 

txt 

REG 

9,3 

35800 

146392 

/sbin/syslogd 

syslogd 

2281 

root 

mem 

REG 

9,3 

1602164 

175514 

/lib/i686/nosegneg/libc-2.5.so 

syslogd 

2281 

root 

mem 

REG 

9,3 

46680 

175529 

/lib/libnss_files-2.5.so 

syslogd 

2281 

root 

mem 

REG 

9,3 

125736 

175507 

/lib/ld-2.5.so 

syslogd 

2281 

root 

0u 

unix 

0xc0acfc80 


6909 

/dev/log 

syslogd 

2281 

root 

lw 

REG 

9,1 

1134708 

17006593 

/var/log/messages 

syslogd 

2281 

root 

2w 

REG 

9,1 

12461 

17006594 

/var/log/secure 

syslogd 

2281 

root 

3w 

REG 

9,1 

9925 

17006595 

/var/log/maillog 

syslogd 

2281 

root 

4w 

REG 

9,1 

3339 

17006598 

/var/log/cron 

syslogd 

2281 

root 

5w 

REG 

9,1 

0 

17006596 

/var/log/spooler 

syslogd 

2281 

root 

6w 

REG 

9,1 

916 

17006597 

/var/log/boot.log 
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La opción -i hará que se muestren todos los archivos de red (Internet y x.25) utilizados por procesos de red. Si 
se quiere mostrar los archivos de red en uso por algún proceso de red en particular, se utilizan las opciones -i 
seguido de una subrutina con grep y el nombre de algún servicio. En el siguiente ejemplo se pide a Isof 
mostrar solamente los archivos de red utilizados por los procesos de red derivados de named: 


lsof -i | grep named 


Lo anterior puede devolver una salida similar a la siguiente. 


named 

2350 

named 

20u 

IPv4 

7091 

named 

2350 

named 

21u 

IPv4 

7092 

named 

2350 

named 

22u 

IPv4 

7093 

named 

2350 

named 

23u 

IPv4 

7094 

named 

2350 

named 

24u 

IPv4 

7095 

named 

2350 

named 

25u 

IPv6 

7096 

named 

2350 

named 

26u 

IPv4 

7097 

named 

2350 

named 

27u 

IPv6 

7098 

named 

2350 

named 

28u 

IPv4 

1153790 


UDP localhost.localdomain:domain 

TCP localhost.localdomain:domain (LISTEN) 

UDP servidor.redlocal.net:domain 

TCP servidor.redlocal.net:domain (LISTEN) 

UDP *:filenet-tms 

UDP *:filenet-rpc 

TCP localhost.localdomain:rndc (LISTEN) 
TCP localhost6.1ocaldomain6:rndc (LISTEN) 
UDP 192.168.122.1:domain 
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31.1. Introducción. 

31.1.1. Acerca de sed. 

Sed es un editor de emisiones (stream editor) utilizado para el procesamiento de texto en archivos. Utiliza un 
lenguaje de programación para realizar transformaciones en una emisión de datos leyendo línea por línea de 
estos. Fue desarrollado entre 1973 y 1974 por Lee E. McMahon de Bell Labs. Está incluido en las instalaciones 
básicas de prácticamente todas las distribuciones de GNU/Linux. 

31.2. Procedimientos. 

Acontinuación se mostrarán ejemplos del uso de sed. 

Utilice vi para crear el archivo usuario.txt: 


vi usuario.txt 


Ingrese lo siguiente: 


Fulano Algo 

Calle Mengana 123 

Colonia Perengana 

Ciudad de Zutano, C.P. 123456 


Guarde el archivo y salga de vi. 

Ejecute cat con el nombre de este archivo como argumento para visualizar el contenido del archivo usuario.txt: 


cat usuario.txt 


Ejecute lo siguiente para convertir a doble espacio la salida del archivo usuario.txt: 


sed G usuario.txt 


La salida devolverá lo siguiente: 
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Fulano Algo 

Calle Mengana 123 

Colonia Perengana 

Ciudad de Zutano, C.P. 123456 


Ejecute lo siguiente para guardar esta salida en el archivo usuario2.txt: 


sed G usuario.txt > usuario2.txt 


Ejecute lo siguiente para convertir a doble espacio la salida del archivo usuario.txt: 


sed 'G;G' usuario.txt 


La salida devolverá lo siguiente: 


Fulano Algo 

Calle Mengana 123 

Colonia Perengana 

Ciudad de Zutano, C.P. 123456 


Ejecute lo siguiente para guardar esta salida en el archivo usuario2.txt: 

sed 'G;G' usuario.txt > usuario3.txt 

Lo anterior mostrará que el contenido de usuario3.txt con triple espacio de separación. 

Ejecute lo siguiente para convertir un archivo a doble espacio, pero sin que exista más de una línea vacía entre 
cada línea con datos: 


sed '//'S/djG' usuario3.txt 


La salida devolverá lo siguiente: 


Fulano Algo 

Calle Mengana 123 

Colonia Perengana 

Ciudad de Zutano, C.P. 123456 


Ejecute lo siguiente para eliminar el doble espacio del archivo usuario2.txt: 


sed 'n;d' usuario2.txt 


La salida devolverá lo siguiente: 


Fulano Algo 

Calle Mengana 123 

Colonia Perengana 

Ciudad de Zutano, C.P. 123456 


Ejecute lo siguiente para agregar una línea en blanco arriba de toda línea que contenga la expresión regular 

enga: 


sed '/enga/{x;p;x;}' usuario.txt 
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La salida devolverá lo siguiente: 


Fulano Algo 

Calle Mengana 123 

Colonia Perengana 

Ciudad de Zutano, C.P. 123456 


Ejecute lo siguiente para agregar una línea en blanco debajo de toda línea que contenga la expresión regular 3: 


sed '/3/G' usuario.txt 


La salida devolverá lo siguiente: 


Fulano Algo 

Calle Mengana 123 

Colonia Perengana 

Ciudad de Zutano, C.P. 123456 


Ejecute lo siguiente para agregar una línea en blanco arriba y debajo de toda línea que contenga la expresión 
regular 3: 


sed ’/3/{x;p;x;G;}' usuario.txt 


La salida devolverá lo siguiente: 


Fulano Algo 

Calle Mengana 123 

Colonia Perengana 

Ciudad de Zutano, C.P. 123456 

Para reemplazar texto se utiliza el modelo 's/texto/nuevo-texto/' donde texto puede ser también una expresión 
regular. En el siguiente ejemplo se reemplazarán las incidencias del número por el número 9: 

sed 's/3/9/g' usuario.txt 


La salida devolverá lo siguiente: 


Fulano Algo 

Calle Mengana 129 

Colonia Perengana 

Ciudad de Zutano, C.P. 129456 


En el siguiente ejemplo se reemplazan los espacios por tabuladores a todo lo largo de todas las líneas: 


sed 's/\ /\t/g' usuario.txt 


La salida devolverá lo siguiente: 


Fulano 

Algo 



Calle 

Mengana 123 



Colonia 

Perengana 



Ciudad 

de Zutano, 

C.P. 

123456 


En el siguiente ejemplo se reemplazará sólo el primer espacio de cada línea por un tabulador: 
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sed 's/\ /\t/' usuario.txt 

La salida devolverá lo siguiente: 

Fulano Algo 

Calle Mengana 123 

Colonia Perengana 

Ciudad de Zutano, C.P. 123456 

Ejecute lo siguiente para aíìadir 5 espacios al inicio de cada línea: 

sed 's/ A / /' usuario.txt 

La salida devolverá lo siguiente: 

Fulano Algo 

Calle Mengana 123 

Colonia Perengana 

Ciudad de Zutano, C.P. 123456 

Ejecute lo siguiente para mstrar en pantalla sólo la primera línea del archivo usuario.txt: 

sed q usuario.txt 

La salida devolverá lo siguiente: 

Fulano Algo 

Ejecute lo siguiente para mostrar en pantalla sólo las primeras dos líneas del archivo usuario.txt: 

sed 2q usuario.txt 

La salida devolverá lo siguiente: 

Fulano Algo 
Calle Mengana 123 

Ejecute lo siguiente para mostrar en pantalla sólo las últimas tres líneas del archivo usuario.txt: 

sed -e :a -e '$q;N;4,$D;ba' usuario.txt 

La salida devolverá lo siguiente: 

Calle Mengana 123 
Colonia Perengana 
Ciudad de Zutano, C.P. 123456 

Ejecute lo siguiente para mostrar sólo las líneas que incluyen 3: 

sed '/3/!d' usuario.txt 
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La salida devolverá lo siguiente: 

Calle Mengana 123 

Ciudad de Zutano, C.P. 123456 

Ejecute lo siguiente para mostrar sólo las líneas sin 3: 

sed ’/3/d' usuario.txt 

La salida devolverá lo siguiente: 

Fulano Algo 
Colonia Perengana 

Ejecute lo siguiente para mostrar la línea que está inmediatamente después de la expresión Fulano, pero 
excluyendo la línea que incluye Fulano: 

sed -n '/Fulano/{n;p;}' usuario.txt 
La salida devolverá lo siguiente: 

Calle Mengana 123 

Ejecute lo siguiente para mostrar la línea que está inmediatamente antes de la expresión Calle, pero 
excluyendo la línea que incluye Calle: 

sed -n '/Calle/{g;l!p;};h' usuario.txt 

La salida devolverá lo siguiente: 

Fulano Algo 

31.3. Bibliografía. 

• Eric Pement: http://student.northpark.edu/pemente/sed/sedlline.txt 

• Wikipedia: http://en.wikipedia.org/wiki/Sed 
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32.1. Introducción. 

32.1.1. Acerca de AWK. 

AWK, cuyo nombre deriva de la primera letra de los apellidos de sus autores Alfred Aho, Peter Weinberger y 
Brian Kernighan, es un lenguaje de programación que fue disenado con el objetivo de procesar datos basados 
sobre texto y una de las primeras herramientas en aparecer en Unix. Utiliza listas en un índice ordenado por 
cadenas clave (listas asociativas) y expresiones regulares. Es un lenguaje ampliamente utilizado para la 
programación de guiones ejecutables pues afiade funcionalidad a las tuberías en los sistemas operativos tipo 
POSIX. Está incluido en las instalaciones básicas de prácticamente todas las distribuciones de GNU/Linux. 

32.1.2. Estructura de los programas escritos en AWK. 

AWK utiliza un archivo o emisión de ordenes y un archivo o emisión de entrada. El primero indica como 
procesar al segundo. El archivo de entrada es por lo general texto con algún formato que puede ser un archivo 
o bien la salida de otro programa. 

La sintaxis general para awk utiliza el siguiente patrón: 


awk 'expresión-regular { orden }' 


Cuando se utiliza awk, éste examina el archivo de entrada y ejecuta la orden cuando encuentra la expresión 
regular especificada. 

El siguiente modelo ejecutaría la orden al inicio del programa y antes de que sean procesados los datos del 
archivo de entrada: 

awk 'BEGIN { orden }' 


El siguiente modelo ejecutaría la orden al final del programa y después de que sean procesados los datos del 
archivo de entrada: 

awk 'END { orden }' 

El siguiente modelo ejecutaría la orden por cada una de las líneas del archivo de entrada: 
awk '{ orden }' 


32.2. Procedimientos. 
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Acontinuación se mostrarán ejemplos del uso de AWK. 

Ejecute lo siguiente para específicar que al inicio se imprima en la salida la frase "Hola mundo" y se termine 
inmediatamente el procesamiento. 

awk 'BEGIN { print "Hola mundo"; exit }' 

Lo anterior deberá devolver una salida como la siguiente: 

Hola mundo 

Ejecute lo siguiente para generar al archivo prueba.txt: 

echo -e "Columnal\tColumna2\tColumna3\tColumna4\n" > ejemplo.txt 
Visulice el contenido del archivo prueba.txt con cat: 
cat ejemplo.txt 

Devolverá el siguiente contenido: 

Columnal Columna2 Columna3 Columna4 

Ejecute lo siguiente para que awk sólo muestre la columna 1 y la columna 3: 

awk '{ print $1, $3}' ejemplo.txt 
La salida devolverá lo siguiente: 

Columnal Columna3 

Ejecute lo siguiente para que awk sólo muestre la columna 3 y la columna 1 —en ese orden: 
awk '{ print $3, $1}' ejemplo.txt 

La salida devolverá lo siguiente: 

Columna3 Columnal 

Si se ahaden datos al archivo ejemplo.txt del siguiente modo: 

echo -e "Datol\tDato2\tDato3\tDato4\n" » ejemplo.txt 
echo -e "Dato5\tDato6\tDato7\tDato8\n" » ejemplo.txt 
echo -e "Dato9\tDatol0\tDatoll\tDatol2\n" » ejemplo.txt 

Visualiza con cat y el nombre del archivo como argumento: 
cat ejemplo.txt 
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Devolverá el siguiente contenido: 


Columnal 

Columna2 

Columna3 

Columna4 

Datol 

Dato2 

Dato3 

Dato4 


Dato5 

Dato6 

Dato7 

Dato8 


Dato9 

DatolO 

Datoll 

Datol2 



Ejecute lo siguiente para que awk sólo muestre la columna 1 y la columna 3: 

awk '{ print $1, $3 }' ejemplo.txt 


La salida devolverá lo siguiente: 


Columnal Columna3 
Datol Dato3 
Dato5 Dato7 
Dato9 Datoll 


Ejecute lo siquiente para que awk sólo muestre la línea cuya columna contenga la expresión regular Dato5: 


awk '/Dato5/ { print }' ejemplo.txt 


La salida devolverá lo siguiente: 


Dato5 Dato6 Dato7 Dato8 


Ejecute lo siguiente para que awk sólo muestre la línea cuya columna contenga la expresión regular Dato5 y 
además sólo las columnas 1 y 4: 

awk '/Dato5/ { print $1, $4}' ejemplo.txt 

La salida devolverá lo siguiente: 

Dato5 Dato8 


Ejecute lo siguiente para que awk sólo muestre las líneas con más de 35 caracteres en el archivo 

/etc/crontab: 


awk 'length > 35' /etc/crontab 


La salida devolverá algo similar a lo siguiente: 


# | | .- day of month (1 - 31) 

#|j| .-month (1 - 12) OR jan,feb,mar,apr ... 

#|j|| .- day of week (0 - 6) (Sunday=0 or 7) OR sun,mon,tue,wed,thu,fri,sat 

****** user-name command to be executed 


Ejecute lo siguiente para que awk sólo muestre las líneas con menos de 35 caracteres en el archivo 

/etc/crontab: 


awk 'length < 35' /etc/crontab 
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La salida devolverá algo similar a lo siguiente: 


SHELL=/bin/bash 

PATH=/sbin:/bin:/usr/sbin:/usr/bin 
MAILTO=root 

# For details see man 4 crontabs 

# Example of job definition: 

# | .- hour (0 - 23) 

#1111 


Utilice vi para crear el archivo usuario.txt: 
vi usuario.txt 


Ahada el siguiente contenido: 


Fulano Algo 

Calle Mengana 123 

Colonia Perengana 

Ciudad de Zutano, C.P. 123456 


Para que awk reconozca cada línea como un registro completo, en lugar de considerar cada palabra como una 
columna, se utiliza 'BEGIN { FS="\n" ; RS=""}', donde el valor de FS (Field Separator o separador de campo) 
se establece como un retorno de carro y el valor de RS (Record Separator o separador de registro) se 
establece como una línea vacía. Ejecute lo siguiente para establecer los valores mencionados para FS y RS y 
se pide se impriman los valores de cada registro (cada línea) separados por una coma y un espacio: 


awk ' BEGIN { FS="\n" ; RS="" } \ 

{ print $1 ", " $2 ", " $3 ", " $4 }' usuario.txt 


La salida devolverá lo siguiente: 

Fulano Algo, Calle Mengana 123, Colonia Perengana, Ciudad de Zutano, C.P. 123456 


AWK puede realizar conteo de líneas, palabras y caracteres. Ejecute lo siguiente para establecer que el valor 
de w sea igual al número de campos (New Field o NF), c sea igual la longitud de cada campo y que se imprima 
el número de campos, el valor de w y el valor de c: 


awk ’{ w += NF; c += length } \ 

END { print \ 

"Campos: " NR , "\nPalabras: " w, "\nCaracteres : " c }’ \ 
usuario.txt 


La salida devolverá lo siguiente: 


Campos: 4 
Palabras: 12 
Caracteres: 74 


Genere el archivo numeros.txt con el siguiente contenido, donde las columnas serán separadas por un 
tabulador: 
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12 3 4 
5 6 7 8 
9 10 11 12 


AWK también puede realizar operaciones matemáticas. Ejecute lo siguiente para establecer que la variable s 
sea igual a la suma del valor de los campos de la primera columna del archivo numeros.txt e imprime el valor 
de s: 


awk '{ s += $1 } END { print s }' numeros.txt 


La salida devolverá lo siguiente —que corresponde al resultado de la suma de 1+5+9: 


15 


Puede hacerse lo mismo pero con los valores de la columna 2 ejecutando lo siguiente: 


awk '{ s += $2 } END { print s }' numeros.txt 


La salida devolverá lo siguiente —que corresponde al resultado de la suma 2+6+10: 


18 


Para hacer conteo de frecuencia de palabras, se establece que el valor para FS (Field Separator o separador 
de línea) sea igual a expresiones regulares que van desde la letra a hasta la letra z y desde la letra A hasta la 
letra Z y se establece que el valor de la variable / sea igual a 1 y menor al número de campos. 

awk ' BEGIN { FS="[Aa-zA-Z]+" } \ 

{ for (i=l; i<=NF; i++) words[tolower($i)]++ } \ 

END { for (i in words) print i, words[i] }' /etc/crontab 


La salida devolverá algo similar a lo siguiente: 
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15 

job 1 
to 1 
usr 2 
root 1 
shell 1 
mon 1 
hour 1 
bin 3 

executed 1 
name 1 
wed 1 
fri 1 
details 1 
of 3 
feb 1 
week 1 
sun 1 
path 1 
crontabs 1 
or 3 
be 1 
apr 1 

definition 1 
month 2 
sbin 2 
tue 1 
jan 1 
day 2 
command 1 
for 1 
sunday 1 
man 1 
mar 1 
user 1 
minute 1 
example 1 
see 1 
bash 1 
sat 1 
mailto 1 
thu 1 
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33.1. Introducción. 

Tanto chown como chgrp forman parte del paquete coreutils, el cual se instala de forma predeterminada en 
todas las distribuciones de GNU/Linux debido a que se trata componente esencial. 

URL: ftp://alpha.gnu.org/gnu/coreutils/ 

33.2. Uso de chovvn. 


Se utiliza para cambiar el propietario al cual pertenece un archivo o directorio. Puede especificarse tanto el 
nombre de un usuario, así como un número de identidad de usuario (UID). De manera opcional, utilizando un 
signo de dos puntos (:) o bien un punto (.), permite especificar también un nombre de grupo. 

El manual completo de chown puede consultarse ejecutando lo siguiente: 


man 1 chown 


33.2.1. Opciones. 


-R 

De manera descendente cambia el propietario de los directorios junto con todos sus 
contenidos. De manera opcional también permite cambiar el grupo al cual pertenecen. 

-v (o -verbose) 

Salida más descriptiva. 

-version 

Ver el número de versión del programa. 

-dereference 

Actúa sobre enlaces simbólicos en lugar de hacerlo sobre el destino. 

-h (o -no-dereference) 

En el caso de enlaces simbólicos, cambia el propietario del destino en lugar del propio 
enlace. 

-reference 

Cambia el propietario de un archivo, tomando como referencia el propietario de otro. 


33.2.2. Uso. 


chown [opciones] usuario[:grupo] archivo(s) o directorio(s) 


33.3. Uso de chgrp. 

Se utiliza para cambiar el grupo al cual pertenece un archivo o directorio. Puede especificarse tanto el nombre 
de un grupo, así como un número de identidad de grupo (GID). 

El manual completo de chgrp puede consultarse ejecutando lo siguiente: 
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man 1 chgrp 


33.3.1. Opciones. 


-R 

De manera descendente cambia el grupo al cual pertenecen los directorios junto con 
todos sus contenidos. 

-v (o -verbose) 

Salida de chgrp más descriptiva. 

-version 

Ver ei número de versión del programa. 

-dereference 

Actúa sobre enlaces simbólicos en lugar de hacerlo sobre el destino. 

-h (o -no-dereference) 

En el caso de enlaces simbólicos cambia el grupo del destino en lugar del propio enlace. 

-reference 

Cambia el grupo de un archivo tomando como referencia el propietario de otro. 

Uso. 


chgrp [opciones] archivo(s) o directorio(s) 


33.4. Ejemplos. 

Ejecute lo siguiente para realizar el cambio de propietario a fulano sobre el archivo algo.txt. 


chown fulano algo.txt 


Visualice los resultados ejecutando Is con la opción -I y el nombre del archivo como argumento: 


ls -1 algo.txt 


Ejecute lo siguiente para realizar el cambio de propietario a fulano y el grupo desarrollo sobre el archivo 
algo.txt. 


chown fulano:desarrollo algo.txt 


Visualice los resultados ejecutando Is con la opción -I y el nombre del archivo como argumento: 


ls -1 algo.txt 


Ejecute lo siguiente para realizar el cambio de propietario a fulano y el grupo mail del sub-directorio Mail junto 
con todo su contenido. 


chown -R fulano:mail Mail 

Visualice los resultados ejecutando Is con la opción -I y el nombre del archivo como argumento: 
ls -1 algo.txt 

Ejecute lo siguiente para realizar el cambio de grupo a desarrollo sobre el archivo algo.txt. 
chgrp desarrollo algo.txt 
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Visualice los resultados ejecutando Is con la opción -I y el nombre del archivo como argumento: 


ls -1 algo.txt 
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34.1. Introducción. 


En los sistemas operativos tipo POSIX cada elemento del sistema de archivos, como archivos, directorios, 
enlaces simbólicos, etc., tiene la característica de poseer permisos que lo ubican dentro del mismo. Éstos 
sirven como uno más de los niveles de seguridad del sistema operativo al impedir que cualquier usuario pueda 
leer, escribir, ejecutar o acceder a dichos archivos y directorios de manera arbitraria. Estos permisos vistos de 
manera básica son: lectura (r, read), escritura (w, write) y ejecución (x, execution) y se agrupan en bloques 
(rwx) para 3 diferentes clases (usuario, grupo y otros). 

Los permisos de acceso de cada archivo y directorio del sistema son mostrados por un conjunto de 10 
caracteres, los cuales proporcionan información acerca del tipo de elemento, junto con permisos para el usuario 
y grupo propietario para leer, escribir y ejecutar, como se muestra en el siguiente ejemplo: 


-rwxr-xr-x 1 fulano fulano 0 jul 31 18:11 algo.txt 


La asignación de permisos de acceso (de lectura, escritura y ejecución) pueden gestionarse a través de modos, 
los cuales consisten de combinaciones de números de tres dígitos —usuario, grupo y otros— que son 
manipulados a través de chmod y setfacl. 

34.2. Notación simbólica. 


El esquema de notación simbólica se compone de 10 caracteres, donde el primer carácter indica el tipo de 
archivo: 


Valor Descripción 

Archivo regular. 
d Directorio. 

b Archivo especial como dispositivo de bloque. 

c Archivo de carácter especial 

1 Enlace simbólico. 

p Tubería nombrada (FIFO) 

s Zócalo de dominio (socket) 


Como se mencionó anteriormente, cada clase de permisos es representada por un conjunto de tres caracteres. 
El primer conjunto de caracteres representa la clase del usuario, el segundo conjunto de tres caracteres 
representa la clase del grupo y el tercer conjunto representa la clase de «otros» (resto del mundo). Cada uno de 
los tres caracteres representa permisos de lectura, escritura y ejecución, respectivamente y en ese orden. 


Ejemplos: 
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Permisos 

Descripción 

drwxr-xr-x 

Directorio con permiso 755 

crw-rw-r- - 

Archivo de carácter especial con permiso 664. 

srwxrwxr-x 

Zócalo con permiso 775. 

prw-rw-r- - 

Tubería (FIFO) con permiso 664. 

- rw- r- - r- - 

Archivo regular con permiso 644. 


34.3. Notación octal. 


La notación octal consiste de valores de tres a cuatro dígitos en base-8. Con la notación octal de tres dígitos 
cada número representa un componente diferente de permisos a establecer: clase de usuario, clase de grupo y 
clase de otros (resto del mundo) respectivamente. Cada uno de estos dígitos es la suma de sus bits que lo 
componen (en el sistema numeral binario). Como resultado, bits específicos se anaden a la suma conforme son 
representados por un numeral: 

• El Bit de ejecución (acceso en el caso de directorios) anade 1 a la suma. 

• El bit de escritura ainade 2 a la suma 

• El bit de lectura aiìade 4 a la suma. 


Estos valores nunca producen combinaciones ambiguas y cada una representa un conjunto de permisos 
específicos. De modo tal puede considerarse la siguiente tabla: 


Valor 

Permiso 

Descripción 



0 

— 

Nada 



1 

- -X 

Sólo ejecución de archivos o acceso a directorios 

2 

-w - 

Sólo escritura 



3 

-wx 

Escritura y ejecución de archivos 

o acceso 

a directorios 

4 

r- - 

Sólo lectura 



5 

r-x 

Lectura y ejecución de archivos o 

acceso a 

directorios 

6 

rw- 

Lectura y escritura 



7 

rwx 

Lectura, escritura y ejecución de 

archivos 

o acceso a directorios 


Cabe senalar que el permiso 3 (wx) es el resultado de 1+2 (w+x), que el permiso 5 (rx) es el resultado de 4+1 
(r+x), que el permiso 6 (rw) es el resultado de 4+2 (r+w) y que el permiso 7 (rwx) es el resultado de 4+2+1 
(r+w+x). 

34.3.1. Máscara de usuario. 

La máscara de usuario ( umask , abreviatura de user mask) es una función que establece los permisos 
predeterminados para los nuevos archivos y directorios creados en el sistema. Puede establecerse en notación 
octal de tres o cuatro dígitos o bien en notación simbólica. Puede establecerse cualquier valor para umask, pero 
debe tomarse en consideración que ésta jamás permitirá crear nuevos archivos ejecutables. 


Cuando se utiliza la notación octal de cuatro dígitos, el primer dígito siempre corresponde a los permisos 
especiales, pero el valor de éste siempre será 0; el segundo dígito corresponde a la máscara de la clase otros; 
el tercer dígito corresponde a la máscara para la clase de grupo; y el cuarto dígito corresponde a la máscara 
para la clase de usuario. 


1 i ■- 

-- Permisos 
-- Clase de 
-- Clase de 
-- Clase de 

especiales (siempre es 0 en umask) 

otros 

grupo 

usuario 

1 1 1 1 
1111 

0 0 2 2 
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El valor de la máscara de usuario, que se asigna ejecutando umask, corresponde a los bits contrarios del 
permiso predeterminado que se quiera asignar. Es decir, si por ejemplo se quiere asignar una máscara de 
usuario equivalente a 0775 (rwxrwxr-x), el valor de la máscara de usuario corresponderá a 0002 (el resultado de 
la operación 777 menos 775), que será lo mismo que definir u=rwx,g=rwx,o=rx. 


Si por ejemplo se quiere asignar una máscara de usuario equivalente a 0744 (rwxr~r~), el valor de la máscara 
de usuario corresponderá a 0033 (el resultado de la operación 777 menos 744), que será lo mismo que definir 
u=rwx,g=r,o=r. 

Los valores nunca producen combinaciones ambiguas y cada una representa un conjunto de permisos 
específicos. De modo tal puede considerarse la siguiente tabla: 


Valor octal 

Valor simbólico 

Descripción 

0 

rwx 

Lectura, escritura y acceso a directorios 

1 

rw- 

Lectura y escritura 

2 

r-x 

Lectura y acceso a directorios 

3 

r- - 

Sólo lectura 

4 

-w X 

Escritura y acceso a directorios 

5 

-w- 

Sólo escritura 

6 

- -X 

Sólo acceso a directorios 

7 

— 

Nada 


El valor predeterminado de la máscara de usuario del sistema en CentOS, Fedora™, Red Hat™ Enterprise 
Linux, openSUSE™ y SUSE™ Linux Enterprise es 0022, es decir se asigna permiso 0755 (-rwxr-xr-x) para 
nuevos directorios y 0644 (-rw-r~r~) para nuevos archivos. El sistema jamás permite crear nuevos archivos con 
atributos de ejecución. El valor predeterminado se define en una variable de entorno del archivo /etc/profile y 
puede ser cambiado por el que el administrador del sistema considere pertinente. El valor también puede 
establecerse por usuario en el archivo ~/.bash_profile (CentOS, Fedora™ y Red Hat™ Enterprise Linux) o 
bien en el archivo -/.profile (openSUSE™ y SUSE™ Linux Enterprise). 


El valor predeterminado de la máscara de usuario utilizado por useradd, para la creación de directorios de 
inicio de usuarios, se define en el archivo /etc/login.defs. 


En CentOS, Fedora™ y Red Hat™ Enterprise Linux el valor predeterminado de la máscara de usuario utilizada 
por useradd es 0077, es decir que los directorios de inicio de cada usuario que sea creado en el sistema tendrá 
un permiso 0700 (rwx.). 

En openSUSE™ y SUSE™ Linux Enterprise el valor predeterminado de la máscara de usuario utilizada por 
useradd es 0022, es decir 0755 (rwxr-xr-x), debido a que la variable UMASK está deshabilitada con una 
almohadilla en el archivo /etc/login.defs, pues se recomienda se defina ésta variable en el archivo 

/etc/default/useradd. Ejemplo: 


GROUP=100 

H0ME=/home 

INACTIVE=-1 

EXPIRE= 

SHELL=/bin/bash 

SKEL=/etc/skel 

CREATE_MAIL_SP00L=yes 

UMASK=0077 


Para determinar el valor en notación octal para la máscara de usuario predeterminada del sistema, ejecute 
umask sin opciones ni argumentos. 


umask 


Para determinar el valor en notación simbólica para la máscara de usuario predeterminada del sistema, ejecute 
umask con la opción -S (mayúscula), sin argumentos. 
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umask -S 

Para cambiar la mascara de usuario en la sesión activa y procesos hijos, se requiere ejecutar umask con el 
valor octal deseado. En el siguiente ejemplo, se definirá 0002 (0775, rwxrwxr-x) como máscara de usuario: 

umask 0002 

Lo anterior también se puede hacer utilizando notación simbólica: 
umask u=rwx,g=rwx,o=rx 


34.3.2. Permisos especiales. 

Hay una forma de cuatro dígitos. Bajo este esquema el estándar de tres dígitos descrito arriba se convierte en 
los últimos tres dígitos del conjunto. El primer dígito representa el bit de los permisos adicionales. En sistemas y 
equipamiento lógico donde es obligatorio incluir este primer dígito del conjunto de cuatro y se prescinde de 
asignar permisos adicionales, se debe establecer cero como valor de éste. Ejemplo: 


chmod 0755 /lo/que/sea 


El primer dígito del conjunto de cuatro es también la suma de sus bits que le componen: 

1. El bit pegajoso (sticky bit) anade 1 al total de la suma. 

2. El bit setgid anade 2 al total de la suma. 

3. El bit setuid anade 4 al total de la suma. 


El permiso SUID o bit setuid hace que cuando se ha establecido ejecución, el proceso resultante asumirá la 
identidad del usuario dado en la clase de usuario (propietario del elemento). 

El permiso SGID o bit setgid hace que cuando se ha establecido ejecución, el proceso resultante asumirá la 
identidad del grupo dado en la clase de grupo (propietario del elemento). Cuando setgid ha sido aplicado a un 
directorio, todos los nuevos archivos creados debajo de este directorio heredarán el grupo propietario de este 
mismo directorio. Cuando se omite establecer setgid, el comportamiento predeterminado es asignar el mismo 
grupo del usuario utilizado para crear nuevos archivos o directorios. 

El bit pegajoso (sticky bit) significa que un usuario sólo podrá modificar y eliminar archivos y directorios 
subordinados dentro de un directorio que le pertenezca. En ausencia de éste, se aplican las reglas generales y 
el derecho de acceso de escritura en si sólo permite al usuario crear, modificar y eliminar archivos y directorios 
subordinados dentro de un directorio. Los directorios a los cuales se les ha establecido bit pegajoso restringen 
las modificaciones de los usuarios a sólo adjuntar contenido, manteniendo control total sobre sus propios 
archivos y permitiendo crear nuevos archivos; sólo permitirá adjuntar o ahadir contenido a los archivos de otros 
usuarios. El bit pegajoso es utilizado en directorios como /tmp y /var/spool/mail. 


De modo tal puede considerarse la siguiente tabla: 


Valor 

Permiso 


Descripción 


1 

— 

— 

-t 

bit pegajoso 


2 

— 

- -s 

— 

bit setgid 


3 

— 

- -s 

-t 

bit pegajoso 

+ bit setgid 

4 

- -s 

— 

— 

bit setuid 


5 

- -s 

— 

-t 

bit setuid + 

bit pegajoso 

6 

- -s 

- -s 

— 

bit setuid + 

bit setgid 

7 

- -s 

- -s 

-t 

bit setuid + 

bit setgid + bit pegajoso 
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Cuando un archivo carece de permisos de ejecución o bien si un directorio carece de permiso de acceso en 
alguna de las clases y se le es asignado un permiso especial, éste se representa con una letra mayúscula. 


Permiso 

Clase 

Ejecuta 

Sin ejecución 

setuid 

Usuario 

s 

s 

setgid 

Grupo 

s 

s 

pegajoso (sticky) 

Otros 

t 

T 


34.4. Ejemplos. 


Ejemplos permisos regulares. 

Valor octal 

Valor umask 

Clase de Usuario 

Clase de Grupo 

Clase de Otros 

0400 

0377 

r- - 

— 

— 

0440 

0337 

r- - 

r- - 

— 

0444 

0333 

r- - 

r- - 

r- - 

0500 

0277 

r-x 

— 

— 

0550 

0227 

r-x 

r-x 

— 

0555 

0222 

r-x 

r-x 

r-x 

0644 

0133 

rw- 

r- - 

r- - 

0664 

0113 

rw- 

rw- 

r- - 

0666 

0111 

rw - 

rw- 

rw- 

0700 

0077 

rw x 

— 

— 

0711 

0066 

rwx 

- -X 

- -X 

0707 

0070 

rwx 

— 

rwx 

0744 

0033 

rwx 

r- - 

r- - 

0750 

0027 

rwx 

r-x 

— 

0755 

0022 

rwx 

r-x 

r-x 

0775 

0002 

rwx 

rwx 

r-x 

0777 

0000 

rwx 

rwx 

rwx 


34.4.2. Ejemplos permisos especiales. 


Valor octal 

Clase de Usuario 

Clase de Grupo 

Clase de Otros 

1644 

rw- 

r- - 

r-T 

2644 

rw- 

r-S 

r- - 

3644 

rw- 

r-S 

r-T 

4644 

rwS 

r- - 

r- - 

5644 

rwS 

r- - 

r-T 

6644 

rwS 

r-S 

r- - 

7644 

rwS 

r-S 

r-T 

1777 

rwx 

rwx 

rwt 

2755 

rwx 

r-s 

r-x 

3755 

rwx 

r-s 

r-t 

4755 

rws 

r-x 

r-x 

5755 

rws 

r-x 

r-t 

6755 

rws 

r-s 

r-x 

7755 

rws 

r-s 

r-t 


34.5. Uso de chmod. 

La sintaxis básica es así: 

chmod [opciones] modo archivo 


34.5.1. Opciones de chmod. 

-R 


Cambia permisos de forma descendente en un directorio dado. Es la única opción de los estándares 
POSIX. 
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C 


Muestra cuáles archivos han cambiado recientemente en una ubicación dada 


-f 


Omite mostrar errores de archivos o directorios que haya sido imposible cambiar 


v 


Descripción detallada de los mensajes generados por el proceso 
Para obtener una descripción completa del uso de chmod, ejecute: 


man 1 chmod 


34.5.2. Uso de chmod y los enlaces simbólicos. 

Cabe senalar que aunque es posible cambiar el propietario y/o grupo al cual pertenece un enlace simbólico con 
chown y chgrp, chmod jamás cambia los permisos de acceso de enlaces simbólicos, los cuales de cualquier 
forma carecen de relevancia pues los que importan son los permisos de los archivos o directorios hacia los 
cuales apuntan. Si ejecuta chmod sobre un enlace simbólico, invariablemente se cambiará el permiso del 
archivo o directorio hacia el cual apunta. Cuando se aplica chmod de forma descendente en un directorio, éste 
ignora los enlaces simbólicos que pudiera encontrar en el recorrido. 


Por favor, continué con el documento titulado «Listas de control de acceso y uso de getfacl y setfacl .» 

34.6. Ejercicio práctico. 

Ejecute lo siguiente: 


mkdir -p ~/tmp/ 

touch ~/tmp/algo.txt 

ls -1 ~/tmp/algo.txt 

chmod 755 ~/tmp/algo.txt 

ls -1 ~/tmp/algo.txt 

chmod u=rw,g=r,o=r ~/tmp/algo.txt 

ls -1 ~/tmp/algo.txt 

chmod u=rw,g-r,o-r ~/tmp/algo.txt 

ls -1 ~/tmp/algo.txt 

chmod u+x,g+rx,o+rx ~/tmp/algo.txt 

ls -1 ~/tmp/algo.txt 

chmod a-x ~/tmp/algo.txt 

ls -1 ~/tmp/algo.txt 

chmod a-w ~/tmp/algo.txt 

ls -1 ~/tmp/algo.txt 


La salida debe ser similar a la siguiente: 
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[fulano@localhost -]$ mkdir -p ~/tmp/ 

[fulano@localhost ~j$ touch ~/tmp/algo.txt 
[fulano@localhost ~j$ Is -l ~/tmp/algo.txt 

-rw-rw-r-- 1 fulano fulano 0 ago 18 10:20 /home/fulano/tmp/algo.txt 
[fulano@localhost ~]$ chmod 755 ~/tmp/algo.txt 
[fulano@localhost ~j$ Is -l ~/tmp/algo.txt 

-rwxr-xr-x 1 fulano fulano 0 ago 18 10:20 /home/fulano/tmp/algo.txt 
[fulano@localhost ~]$ chmod u=rw,g=r,o=r ~/tmp/algo.txt 
[fulano@localhost ~j$ Is -l ~/tmp/algo.txt 

-rw-r--r-- 1 fulano fulano 0 ago 18 10:20 /home/f ulqpo/jy^/M.go . txt 
[fulano@localhost ~]$ chmod u=rw,g-r,o-r ~/tmp/algo.txt 
[fulano@localhost ~j$ Is -l ~/tmp/algo.txt 

-rw. 1 fulano fulano 0 ago 18 10:20 ìlgo.txt 

[fulano@localhost ~]$ chmod u+x,g+rx,o+rx ~/tmp/algo.txt 
[fulano@localhost ~j$ Is -l ~/tmp/algo.txt 

-rwxr-xr-x 1 fulano fulano 0 ago 18 10:20 /home/fulano/tmp/algo.txt 
[fulano@localhost ~]$ chmod a-x ~/tmp/algo.txt 
[fulano@localhost ~j$ Is -l ~/tmp/algo.txt 

-rw-r--r-- 1 fulano fulano 0 ago 18 10:20 /home/fulano/tmp/algo.txt 
[fulano@localhost ~]$ chmod a-w ~/tmp/algo.txt 
[fulano@localhost ~j$ Is -l ~/tmp/algo.txt 

-r--r--r-- 1 fulano fulano 0 ago 18 10:20 /home/fulano/tmp/algo.txt 
[fulano@localhost ~]$ 

[fulano@localhost ~j$ Q 
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35. Listas de control de acceso y uso de getfacl y 
setfacl 
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35.1. Introducción. 


Los procedimientos de este documento requieren haber estudiado y comprendido previamente los conceptos 
del documento titulado «Permisos del sistema de archivos.» 


Las listas de control de acceso (ACL, access control lists) se utilizan para controlar los permisos de acceso de 
los archivos y directorios con mayor exactitud que con chmod. Cada objeto del sistema puede ser asociado a 
una ACL que controla el acceso de modo discrecional hacia ese objeto. Además, los directorios pueden tener 
asociado un ACL que controla los permisos de acceso iniciales para los objetos creados en el interior de éste, a 
los que se le denomina ACL predeterminado. 


En resumen, cuando el sistema de archivos ha sido montado con la opción acl, es posible asignar permisos de 
lectura, escritura y ejecución por usuarios y/o grupos. El soporte necesario viene habilitado de modo 
predeterminado en CentOS, Fedora™, Red Hat™ Enterprise Linux, openSUSE™ y SUSE™ Linux Enterprise. 


m 


Nota. 


En el caso de SUSE™ Linux Enterprise 10, se requiere aiïadir la opción acl en la columna de opciones de la 
configuración de los sistemas de archivos presentes en el sistema, editando el archivo /etc/fstab: 


vl /etc/fstab 


Ejemplo: 


/dev/sdal / ext3 acl, userxattr 1 2 

/dev/sda2 /home ext3 acl, user_xattr 1 2 /dev/sda3 /var 

ext3 acl, userxattr 1 2 


Para aplicar los cambios de manera inmediata, sin necesidad de reiniciar, se ejecutaría: 


mount -o remount,acl,user_xattr / mount -o remount,acl,user_xattr /home 
mount -o remount,acl,user_xattr /var 


35.2. Equipamiento lógico necesario. 

35.2.1. En ALDOS, CentOS, Fedora™ y Red Hat™ Enterprise Linux. 

La instalación estándar incluye el paquete acl. Si se realiza una instalación mínima, es necesario ejecutar lo 
siguiente: 
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yum -y install acl 


Si se utiliza ALDOS, CentOS 6, Red Hat™ Enterprise Linux 6 — utilizando los almacenes yum de AL-Server— 
o Fedora™ se puede instalar además el paquete eiciel, el cual permite gestionar las listas de control de acceso 
desde el administrador de archivos (Nautilus) del escritorio de GNOME. 


yum -y install eiciel 


35.2.2. En openSUSE™ y SUSE™ Enterprise Linux. 

La instalación estándar incluye el paquete acl. Si se realizó una instalación minimalista, probablemente sea 
necesario ejecutar lo siguiente: 

yast -i acl 


Si se utiliza openSUSE™ 11 o SUSE™ Enterprise Linux 11 y versiones posteriores de éstos, se puede instalar 
además el paquete nautilus-eiciel, el cual permite gestionar de manera gráfica las listas de control de acceso 
desde el administrador de archivos (Nautilus) del escritorio de GNOME. 


yast -i nautilus-eiciel 


35.3. Procedimientos. 

35.3.1. tQué herramientas se utilizan? 

Cuando el soporte para listas de control de acceso está habilitado en los sistemas de archivos y el paquete acl 
está instalado, se pueden utilizar lo siguiente: 

getfacl 

Se utiliza para determinar los permisos establecidos en las listas de control de acceso de un archivo o 
directorio dado. 

setfacl 

Se utiliza para cambiar los permisos en las listas de control de acceso de un archivo o directorio dado. 
Para obtener una descripción completa del uso de getfacl, ejecute: 


man 1 getfacl 


Para obtener una descripción completa del uso de setfacl, ejecute: 


man 1 setfacl 


Para obtener una descripción completa del formato de las listas de control de acceso, ejecute: 


man 5 acl 


35.3.2. Ver el ACL de un archivo o directorio. 
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Para ver el contenido de las listas de control de acceso de un archivo o directorio particular, se ejecuta getfacl 
con la ruta del archivo o directorio como argumento. Ejemplo: 


getfacl /home/fulano 


Lo anterior devolvería una salida similar la siguiente: 


getfacl: Eliminando '/' inicial en nombres de ruta absolutos 

# file: home/fulano 

# owner: fulano 

# group: fulano 
user: : rwx 
group: : — 
other: : — 


Lo anterior muestra que sólo el propietario del directorio tiene permisos de lectura, escritura y acceso. 

35.3.3. Respaldar y restaurar el ACL de un archivo o directorio. 

Para respaldar el ACL de un archivo o directorio, se ejecuta getfacl con la opción -R, la ruta del archivo o 
directorio como argumento, el signo > —para redirigir la salida estándar— y la ruta del archivo donde se quiere 
guardar el respaldo. Ejemplo: 


getfacl -R /home/fulano > /var/respaldos/respaldo-home-fulano.txt 


Para restaurar el respaldo, hay que cambiarse primero al directorio /: 
cd / 

Y ejecutar setfacl con la opción --restore y la ruta del archivo de respaldo como argumento. Ejemplo: 
setfacl - -restore=/var/respaldos/respaldo-home-fulano.txt 


35.3.4. Opciones de setfacl. 

Es importante destacar las opciones de setfacl pues son relevantes para cualquier procedimiento. 


-m --modify 

Indica que se modificará el ACL un directorio. 


-M --modify-file 

Indica que se modificará el ACL de un archivo. 

-x -remove 

Indica que se eliminará el ACL de un directorio. 

-X -remove-file 

Indica que se eliminará el ACL de un archivo. 

-b -remove-all 

Indica que se eliminarán todos los ACL de un archivo o directorio. 
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-k -remove-default 

Indica que se eliminarán todos los ACL predeterminado de un archivo o directorio. 


-mask 

Fuerza el calculo de la máscara de los permisos efectivos de un ACL, aún si se ha proporcionado una de 
manera explícita. 

-d -default 

Todas las operaciones se aplican sólo en el ACL predeterminado. 

-restore=archivo 

Restaura un respaldo de permisos de un ACL obtenidos con getfacl -R. 


-R 

Aplica los cambios de ACL de modo descendente en un directorio. 

-L -logical 

Al aplicar los cambios de ACL de modo descendente en un directorio, se hace de modo lógico siguiendo 
enlaces simbólicos. 

-P -physical 

Al aplicar los cambios de ACL de modo descendente en un directorio, se hace de modo físico sin seguir 
enlaces simbólicos. 


-test 

Modo de pruebas. en lugar de cambiar los ACL de los archivos o directorios, sólo se listan los resultados. 

35.3.5. Asignando permisos a otro usuario. 

Para lograr que un usuario en particular pueda acceder también a este directorio, se ejecuta setfacl, con la 
opción -m para modificar la lista de control de acceso, [u,g,o]:[usuario,grupo]:[r,w,x] y la ruta del directorio como 
argumentos. Ejemplo: 

setfacl -m u:zutano:rX /home/fulano 

En el ejemplo anterior se utilizó X mayúscula para indicar que sólo se aplicará el bit de acceso de a directorios 
evitando aplicar el bit de ejecución a los archivos. 



Si lo prefiere, también pude utilizar notación octai: 

setfacl -m u:zutano:5 /home/fulano 

Lo anterior establece que se aríaden permisos de lectura y acceso al directorio /home/fulano para el usuario 
zutano. 

Para verificar, ejecute de nuevo getfacl con la ruta del directorio modificado como argumento: 
getfacl /home/fulano 

Lo anterior devolvería una salida similar a la siguiente: 
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getfacl: Eliminando '/' inicial en nombres de ruta absolutos 

# file: home/fulano 

# owner: fulano 

# group: fulano 
user: : rwx 
user:zutano:r-x 
group: : --- 
mask::r-x 
other: : — 


35.3.6. Asignando permisos a múltiples usuarios. 

Pueden asignarse permisos diferentes para otros usuarios. Ejemplo: 


setfacl -m u:perengano:rwX /home/fulano 


Lo anterior establece que se anaden permisos de lectura, escritura y acceso al directorio /home/fulano para el 
usuario perengano. Si utiliza X mayúscula se indicará que se trata específicamente del bit de acceso en lugar 
de acceso y ejecución. 

Para verificar lo anterior, se ejecuta de nuevo getfacl con la ruta del directorio modificado como argumento: 


getfacl /home/fulano 


Lo anterior devolvería una salida similar a la siguiente: 


getfacl: Eliminando '/' inicial en nombres de ruta absolutos 

# file: home/fulano 

# owner: fulano 

# group: fulano 
user: : rwx 

user:perengano:rwx 
user:zutano:r-x 
group: : — 
mask::rwx 
other: : — 


Estos permisos que se establecieron en la lista de control de acceso del directorio /home/fulano son 
exclusivamente para éste. Cualquier nuevo archivo o directorio creado carecerá de estos nuevos permisos. Si 
se desea que éstos permisos se vuelvan los predeterminados para los nuevos archivos y directorios que sean 
creados en lo sucesivo dentro del directorio /home/fulano, se ejecuta setfacl pero anadiendo la opción -d para 
definir que serán los permisos predeterminados para nuevos archivos y directorios. Ejemplo: 


setfacl -d -m u:zutano:rX /home/fulano 
setfacl -d -m u:perengano:rwX /home/fulano 


Se recomienda utilizar X mayúscula para indicar que sólo se aplicará el bit de acceso de a directorios evitando 
aplicar el bit de ejecución a los archivos. 
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Nota. 

Lo anterior también se puede hacer en notación octal: 


setfacl -d -m u:zutano:5 /home/fulano 
setfacl -d -m u:perengano:7 /home/fulano 


Y la opción -d también se puede integrar a los argumentos: 


setfacl -m d:u:zutano:5 /home/fulano 
setfacl -m d:u:perengano:7 /home/fulano 


Y además simplificar todo lo anterior en una sola operación: 


setfacl -m d:u:zutano:5,d:u:perengano:7 /home/fulano 


Para verificar todo lo anterior, se ejecuta de nuevo getfacl con la ruta del directorio modificado como 
argumento: 


getfacl /home/fulano 


Lo anterior devolvería una salida similar a la siguiente: 


getfacl: Eliminando '/' inicial en nombres de ruta absolutos 

# file: home/fulano 

# owner: fulano 

# group: fulano 
user: : rwx 

user:perengano:rwx 

user:zutano:r-x 

group: : — 

mask::rwx 

other: : — 

default:user::rwx 

default:user:perengano:rwx 

default:user:zutano:r-x 

default:group::— 

default:mask::rwx 

default:other::— 


35.3.7. Asignando permisos de forma descendente. 

Para aplicar los permisos de forma descendente, se ejecuta setfacl con la opción -R (mayúscula), la opción -m, 
[u,g,o]:[usuario,grupo]:[r,w,X,x] y la ruta del directorio como argumento. Ejemplo: 


setfacl -R -m u:zutano:rX /home/fulano 
setfacl -R -m u:perengano:rwX /home/fulano 


En el ejemplo anterior se utilizó X mayúscula para indicar que sólo se aplicará el bit de acceso de a directorios 
evitando aplicar el bit de ejecución a los archivos. 
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Nota. 

También puede simplificar todo lo anterior en una sola operación: 

setfacl -R -m u:zutano:rX,u:perengano:rwX /home/fulano 

En el ejemplo anterior se utilizó X mayúscula para indicar que sólo se aplicará el bit de acceso de a directorios evitando 
aplicar el bit de ejecución a los archivos. 

Lo anterior asignaría permisos r-x para el usuario zutano y rwx para el usuario perengano sobre el directorio 
/home/fulano y todo su contenido, pero aplicando sólo el bit de acceso a directorios y evitando asignar bit de 
ejecución a los archivos. 

35.3.8. Eliminar permisos asignados por listas de control de acceso. 

Eliminar permisos asignados por listas de control de acceso. 

Para eliminar los permisos de un usuario en particular de la lista de control de acceso de un directorio en 
particular, se ejecuta setfacl con la opción -x, el nombre del usuario o grupo y la ruta del directorio como 
argumento. Ejemplo: 

setfacl -x perengano /home/fulano 

Para hacer lo mismo, pero de forma descendente, se ejecuta setfacl con la opción -R (mayúscula), la opción 
-x, el nombre del usuario o grupo y la ruta del directorio como argumento. Ejemplo: 

setfacl -R -x perengano /home/fulano 

Para eliminar los permisos predeterminados en la lista de control de acceso, se ejecuta setfacl con la opción -k 
(-remove-default) y la ruta del directorio como argumento. Ejemplo: 

setfacl -k /home/fulano 

Para eliminar todos los permisos en la lista de control de acceso, dejando todo como en el punto inicial, se 
ejecuta setfacl con la opción -b (-remove-all) y la ruta del directorio como argumento. Ejemplo: 

setfacl -b /home/fulano 

Para hacer lo mismo, pero de forma descendente, se ejecuta setfacl con la opción -R (mayúscula), la opción -b 
(-remove-all) y la ruta del directorio como argumento. Ejemplo: 

setfacl -R -b /home/fulano 

35.3.9. Copiar listas de control de acceso. 

Para copiar la lista de control de acceso de un archivo y aplicarla en otro, se ejecuta: 
getfacl archivol | setfacl --set-file=- archivo2 

Para copiar la lista de control de acceso principal como la lista de control de acceso predeterminada, se ejecuta: 
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getfacl --access /home/fulano | setfacl -d 


-M- /home/fulano 
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36. Uso de chattr. 


Autor: Joel Barrios Duehas 

Correo electrónico: darkshram en gmail punto com 

Sitio de Red: http://www.alcancelibre.org/ 


Creative Commons Reconocimiento-NoComercial-Compartirlgual 2.1 


© 1999-2016 Joel Barrios Duenas. Usted es libre de copiar, distribuir y comunicar públicamente la obra y hacer obras derivadas bajo las condiciones siguientes: a) 
Debe reconocer y citar al autor original. b) No puede utilizar esta obra para fines comerciales. c) Si altera o transforma esta obra o genera una obra derivada, sólo 
puede distribuir la obra generada bajo una licencia idéntica a ésta. Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. 
Alguna de estas condiciones puede no aplicarse si se obtiene el permiso del titular de los derechos de autor. Los derechos derivados de usos legítimos u otras 
limitaciones no se ven afectados por lo anterior. La información contenida en este documento y los derivados de éste se proporcionan tal cual son y los autores no 
asumirán responsabilidad alguna si el usuario o lector hace mal uso de éstos. 


36.1. Introducción. 

36.1.1. Acerca de chattr. 

Puede utilizar chattr para cambiar los atributos de los sistemas de archivos ext2,ext3 y ext4. Desde cierto 
punto de vista, es análogo a chmod, pero con diferente sintaxis y opciones. Utilizado adecuadamente, dificulta 
ias acciones en el sistema de archivos por parte de un intruso que haya logrado suficientes privilegios en un 
sistema. 

En la mayoría de los casos, cuando un intruso consigue suficientes privilegios en un sistema, lo primero que 
hará será eliminar los registros de sus actividades modificando estructuras de los archivos de bitácoras del 
sistema y otros componentes. Utilizar chattr ciertamente es obstáculo fácil de librar para un usuario experto, 
pero afortunadamente la gran mayoría de los intrusos potenciales distan mucho de serlo, dependiendo 
enormemente de diversos programas o guiones (los denominados rootkits y zappers) para eliminar aquello que 
permita descubrir sus actividades. 

Utilizar chattr, incluido en el paquete e2fsprogs, que se instala de forma predeterminada en todas las 
distribuciones de GNU/Linux por tratarse de un componente esencial, hace más difícil borrar o alterar bitácoras, 
archivos de configuración y componentes del sistema. Theodore Ts'o es el desarrollador y quien se encarga de 
mantener e2fsprogs, mismo que se distribuye bajo los términos de la licencia GNU/GPL, e incluye otras 
herramientas como e2fsck, e2label, fsck.ext2, fsck.ext3, fsck.ext4, mkfs.ext2, mkfs.ext3, mkfs.ext4, tune2fs y 
dumpe2fs, entre muchas otras. 

El manual con la descripción completa del uso de chattr puede consultarse ejecutando lo siguiente: 


man 1 chattr 


URL: http://e2fsprogs.sourceforge.net/ 

36.2. Opciones. 


-R 

Cambia de manera descendente los atributos de directorios y sus contenidos. Los 
enlaces simbólicos que se encuentren, son ignorado 

-V 

Salida de charttr más descriptiva, mostrando además la versión del programa. 

-V 

Ver el número de versión del programa. 

Operadores. 

+ 

Hace que se anadan los atributos especificados a los atributos existentes de un archivo. 
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- 

Hace que se eliminen los atributos especificados de los atributos existentes de un archivo 

= 

Hace que se reemplacen los atributos existentes por los atributos especificados. 

Atributos. 

A 

Establece que la fecha del último acceso (aí/me) no se modifica. 

a 

Establece que el archivo sólo se puede abrir en modo de adjuntar para escritura. 

c 

Establece que el archivo es comprimido automáticamente en el disco por el núcleo del 
sistema operativo. Al realizar lectura de este archivo, se descomprimen los datos. La 
escritura de dicho archivo comprime los datos antes de almacenarlos en el disco. 

D 

Cuando se trata de un directorio, establece que los datos se escriben de forma sincrónica 
en el disco. Es decir, los datos se escriben inmediatamente en lugar de esperar la 
operación correspondiente del sistema operativo. Es equivalente a la opción dirsync de 
mount, pero aplicada a un subconjunto de archivos. 

d 

Establece que el archivo no sea candidato para respaldo al utilizar la herramienta dump. 

e 

Indica que el archivo o directorio utiliza extensiones ( extents ) para la cartografía de 
bloques en la unidad de almacenamiento, particularmente de sistemas de archivos Ext4. 
Cabe senalar que chattr es incapaz de eliminar este atributo. 

i Establece que el archivo será inmutable. Es decir, se impide que el archivo sea 

eliminado, renombrado, que se pueden apuntar enlaces simbólicos hacia éste o escribir 
datos en el archivo. 

j 

En los sistemas de archivos ext3 y ext4, cuando se montan con las opciones 
data=ordered o data=writeback, se establece que el archivo será escrito en el registro 
por diario (Journal). Si el sistema de archivos se monta con la opción data=journal 
(opción predeterminada), todo el sistema de archivos se escribe en el registro por diario y 
por lo tanto el atributo no tiene efecto. 

s 

Cuando un archivo tiene este atributo, los bloques utilizados en el disco duro son escritos 
con ceros, de modo que los datos no se puedan recuperar por medio alguno. Es la forma 
más segura de eliminar datos. 

S 

Cuando el archivo tiene este atributo, sus cambios son escritos de forma sincrónica en el 
disco duro. Es decir, los datos se escriben inmediatamente en lugar de esperar la 
operación correspondiente del sistema operativo. Es equivalente a la opción sync de 
mount. 

u 

Cuando un archivo con este atributo es eliminado, sus contenidos son guardados 
permitiendo recuperar el archivo con herramientas para tal fin. 


36.5. Uso de chattr. 

chattr [-RV] +-=[AacDdijsSu] [-v versión] archivos 

36.5.1. Ejemplos. 

Genere el archivo algo.txt: 

touch algo.txt 

Agregue el atributo inmutable al archivo algo.txt ejecutando lo siguiente: 

chattr +i algo.txt 

Verifique que se ha establecido dicho atributo ejecutando Isattr utilizando algo.txt como argumento: 

lsattr algo.txt 
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Si ejecuta lo siguiente: 

echo "Hola mundo" > algo.txt 

Lo anterior devolverá un error debido a que el archivo se ha convertido en inmutable y por lo tanto se impide su 
modificación. 

Elimine el atributo inmutable del archivo algo.txt ejecutando lo siguiente: 
chattr -i algo.txt 

Verifique que se ha eliminado el atributo ejecutando Isattr utilizando algo.txt como argumento: 
lsattr algo.txt 

Anada el atributo sólo-adjuntar al archivo algo.txt ejecutando lo siguiente: 
chattr +a algo.txt 

Verifique el atributo que ha sido establecido ejecutando Isattr utilizando algo.txt como argumento: 

lsattr algo.txt 
Si ejecuta lo siguiente: 

echo "Hola mundo" > algo.txt 

Al igual que con el atributo i, será imposible reemplazar contenido. Sin embargo, si ejecuta lo siguiente: 
echo "Hola mundo" » algo.txt 

Se permitirá adjuntar datos al archivo algo.txt. 

Elimine el atributo sólo-adjuntar al archivo algo.txt. 
chattr -a algo.txt 

Verifique que se ha eliminado el atributo ejecutando Isattr utilizando algo.txt como argumento: 
lsattr algo.txt 

En sistemas de archivos Ext3 y Xfs, ejecutar lo siguiente establece que el archivo algo.txt sólo tendrá los 
atributos a, A, s y S. 

chattr =aAsS algo.txt 

En sistemas de archivos Ext4, lo anterior siempre fallará porque es imposible eliminar el atributo e con chattr. 
En su lugar, ejecute lo siguiente: 
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chattr =eaAsS algo.txt 

Verifique los atributos que han sido establecidos ejecutando Isattr utilizando algo.txt como argumento: 

lsattr algo.txt 
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37. Uso de rpm. 
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Creative Commons Reconocimiento-NoComercial-Compartirlgual 2.1 


© 1999-2016 Joel Barrios Duenas. Usted es libre de copiar, distribuir y comunicar públicamente la obra y hacer obras derivadas bajo las condiciones siguientes: a) 
Debe reconocer y citar al autor original. b) No puede utilizar esta obra para fines comerciales (incluyendo su publicación, a través de cualquier medio, por entidades 
con fines de lucro). c) Si altera o transforma esta obra o genera una obra derivada, sólo puede distribuir la obra generada bajo una licencia idéntica a ésta. Al 
reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. Alguna de estas condiciones puede no aplicarse si se obtiene el 
permiso del titular de los derechos de autor. Los derechos derivados de usos legítimos u otras limitaciones no se ven afectados por lo anterior. Licencia completa 
en castellano. La información contenida en este documento y los derivados de éste se proporcionan tal cual son y los autores no asumirán responsabilidad alguna 
si el usuario o lector hace mal uso de éstos. 


37.1. Introducción. 

37.1.1. Acerca de RPM. 

RPM (RPM Package Manager, anteriormente conocido como Red Hat PackageManager) es un sistema de 
gestión de paquetes de equipamiento lógico para GNU/Linux y que está considerado en la Base Estándar para 
Linux (Linux Standard Base o LSB), proyecto cuyo objetivo es desarrollar y promover estándares para mejorar 
la compatibilidad entre las distribuciones de GNU/Linux para permitir a las aplicaciones ser utilizadas en 
cualquier distribución. 

RPM fue originalmente desarrollado por Red Hat, Inc. para su distribución de GNU/Linux y ha sido llevado 
hacia otra distribuciones de GNU/Linux y otros sistemas operativos. 

RPM utiliza una base de datos que se almacena dentro del directorio /var/lib/rpm, la cual contiene toda la 
meta-información de todos los paquetes que son instalados en el sistema y que es utilizada para dar 
seguimiento a todos los componentes que son instalados. Ésto permite instalar y desinstalar limpiamente todo 
tipo de aplicaciones, programas, bibliotecas compartidas, etc. y gestionar sus dependencias. 

Es importante senalar que rpm se instala modo obligatorio en ALDOS, CentOS, Fedora™, Red Hat™ 
Enterprise Linux, SUSE™ Linux Enterprise, openSuSE™ y las distribuciones derivadas de éstas. 

37.2. Procedimientos. 

37.2.1. Reconstrucción de la base de datos de rpm. 

Hay ciertos escenarios en donde se puede corromper la base de datos de RPM, cómo un sector danado en la 
unidad de almacenamiento principal. Si el dano en el sistema de archivos lo permite, la base de datos se puede 
reconstruir fácilmente ejecutando lo siguiente: 


rpm --rebuilddb 


Sólo ejecute lo anterior cuando sea estrictamente necesario. El procedimiento puede durar varios minutos y 
consumir una significativa cantidad de recursos de sistema. 

37.2.2. Consulta de paquetes instalados en el sistema. 

Ejecute rpm con la opción -q para hacer una consulta —lo que corresponde a query en el idioma inglés— en la 
base de datos por un nombre de paquete en particular. En el siguiente ejemplo se consulta si está instalado el 
paquete coreutils: 
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rpm -q coreutils 


Lo anterior debe devolver una salida similar a la siguiente: 


coreutils-8.22-15.e!7_2.1.X86_64 


Ejecute rpm con las opciones -qi — query information — y el nombre de un paquete como argumento para 
hacer la consulta y solicitar información de éste. En el siguiente ejemplo se consulta la información del paquete 

coreutils: 


rpm -qi coreutils 


Lo anterior debe devolver una salida similar a la siguiente: 


Name 

coreutils 

Version 

8.22 

Release 

15.el7_2.1 

Architecture 

X86_64 

Install Date 

mié 17 feb 2016 03:54:49 CST 

Group 

System Environment/Base 

Size 

14585312 

License 

GPLv3+ 

Signature 

RSA/SHA256, mar 16 feb 2016 16:06:20 CST, Key ID 24c6a8a7f4a80eb5 

Source RPM 

coreutils-8,22-15.el7_2.1.src.rpm 

Build Date 

mar 16 feb 2016 09:52:56 CST 

Build Host 

workerl.bsys.centos.org 

Relocations 

(not relocatable) 

Packager 

CentOS BuildSystem 

Vendor 

CentOS 

URL 

http://www.gnu.org/software/coreutils/ 

Summary 

Description 

A set of basic GNU tools commonly used in shell scripts 

These are the GNU core utilities. This package is the combination of 

the old GNU fileutils, sh-utils, and textutils packages. 


Pueden consultarse cuáles componentes forman parte del paquete anterior. Ejecute rpm con las opciones -ql, 
donde se realiza una consulta listando los componentes que lo integran (query list). El siguiente ejemplo 
consulta cuáles archivos instaló el paquete coreutils: 


rpm -ql coreutils 


Lo anterior debe devolver una salida muy extensa similar a la siguiente: 


/bin/arch 

/bin/basename 

/bin/cat 

/bin/chgrp 

/bin/chmod 

/bin/chown 

/bin/cp 

/bin/cut 

/bin/date 

/usr/share/man/manl/users.1.gz 
/usr/share/man/manl/vdir. 1 .gz 
/usr/share/man/manl/wc. 1 .gz 
/usr/share/man/manl/who. 1 .gz 
/usr/share/man/manl/whoami.1.gz 
/usr/share/man/manl/yes. 1 .gz 
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Ejecute rpm con las opciones -qf, que realizan una consulta por un archivo en el sistema de archivos (query 
file) y el nombre de un archivo o directorio para consultar a cuál paquete pertenece éste. En el siguiente 
ejemplo se consultará a cuál paquete pertenece el archivo /bin/cp: 


rpm -qf /bin/cp 


Lo anterior debe devolver una salida similar a la siguiente: 


coreutils-8.4-16.e!6.x86_64 


Ejecute rpm con las opciones -qa —query all — para consultar la lista completa de paquetes instalados en el 
sistema: 


rpm -qa 


Debido a que lo anterior devuelve una lista demasiado grande para poderla visualizar con comodidad, puede 
utilizarse less o bien more como subrutina: 


rpm -qa |less 

Si se quiere localizar un paquete o paquetes en particular, se puede ejecutar rpm con las opciones -qa y utilizar 
grep como subrutina. En el siguiente ejemplo se hace una consulta donde se quiere conocer qué paquetes 
están instalado en el sistema y que incluyan la cadena utils en el nombre. 

rpm -qa |grep utils 


Lo anterior puede devolver una muy extensa salida similar a la siguiente: 


pulseaudio-utils-0.9.21-13.el6.x86_64 
libselinux-utils-2.0.94-5.2.el6.x86_64 
glx-utils-7 .11-3.el6.X86_64 
coreutils-8.4-16.el6.x86_64 
xorg-xll-server-utils-7.5-5.2.el6.x86_64 
pcÌUtÌls-3.1.4-11.el6.X86_64 
bÌnutÌls-2.20.51.0.2-5.28.el6.X86_64 
nfs-utils-lib-1.1.5-4.el6.x86_64 

sg3_utils-libs-l.28-4.el6.X86_64 
alsa-utils-1.0.21-3.el6.x86_64 
db4-Utils- 4.7.25-16.el6.X86_64 
keyutils-libs-l.4-3.el6.x86_64 
pciutils-libs-3.1.4-11.el6.x86_64 
desktop-file-utils-0.15-9.el6.x86_64 
xorg-xll-xkb-utils-7.4-6.e!6.x86_64 


Para revisar en orden cronológico —de más nuevos a más antiguos— qué paquetes están instalados, agregue 
a lo anterior la opción --last y less o more como subrutina para visualizar con comodidad la salida. 


rpm -qa --last|less 


Lo anterior devolverá una salida muy extensa utilizando less como visor. Pulse la tecla t (arriba) y i (abajo) o 
Av. Pág. y Reg. Pág. para desplazarse en la lista. Pulse la tecla q para salir. 
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Para verificar si los componentes instalados por un paquete RPM han sido modificados o alterados o 
eliminados, ejecute rpm con la opción -V, la cual realiza una verificación de la integridad de los componentes de 
acuerdo a las firmas digitales de cada componente (MD5SUM o suma MD5). En el siguiente ejemplo se 
verificara si el paquete cups ha sido alterado: 


rpm -V cups 


La salida será similar a la siguiente si algún componente fue modificado, indicando que el archivo 
/etc/cups/printers.conf fue modificado después de la instalación original del paquete cups: 


S.5....T c /etc/cups/printers.conf 


Para realizar una verificación de todos los componentes del sistema, se puede ejecutar rpm con las opciones 
-Va, que hace una consulta, especifica todos los paquetes y solicita se verifique si hubo cambios (query all 
Verify). 


rpm -Va 


Lo anterior puede devolver una salida muy extensa, pero sin duda alguna mostrará todos los componentes que 
fueron modificados o alterados o eliminados tras la instalación del paquete al que pertenecen. Un ejemplo de 
una salida común sería: 


.T c /etc/pki/nssdb/cert8.db 

.T c /etc/pki/nssdb/key3.db 

..5....T c /etc/pki/nssdb/secmod.db 

S.5....T c /etc/crontab 

.T c /etc/inittab 

S.5....T c /etc/rc.d/rc.local 

S.5....T c /etc/mail/access 

S.5....T c /etc/mail/local-host-names 

S.5....T c /etc/mail/sendmail.cf 

S.5....T c /etc/mail/sendmail.mc 


37.2.3. Instalación de paquetes. 

La mayoría de los distribuidores serios de equipamiento lógico en formato RPM siempre utilizan una firma digital 
PG/GnuPG (GNU Privacy Guard) para garantizar que éstos son confiables y como un método de evitar que 
paquetes alterados —generalmente danados o manipulados con malas intenciones— pasen inadvertidamente 
por los sistemas de gestión de paquetes como yum, zypper, YaST, etc., sin ser detectados. Las firmas digitales 
de los responsables de la distribución siempre incluyen firmas digitales en el disco de instalación o bien en 
alguna parte del sistema de archivos. En el caso de CentOS, Fedora™ y Red Hat™ Enterprise Linux, las 
firmas digitales están dentro del directorio /etc/pki/rpm-gpg/. Algunos distribuciones pueden tener estas firmas 
digitales hospedadas en algún servidor HTTP o FTP. Para importar una firma digital, ejecute rpm con la opción 
--import. Para ejemplificar, ejecute lo siguiente: 


rpm --import http://www.alcancelibre.org/al/AL-RPM-KEY 


Lo anterior importa la firma digital de Alcance Libre y permitirá detectar si un paquete de Alcance Libre fue 
alterado o está corrupto o si fue danado. 


La salida es similar a la siguiente cuando se instalan paquetes con firma digital validada en el anfitrión local: 


Preparando... ########################################### [100%] 

1:google-talkplugin_current ###################################### [100%] 
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La salida es similar a la siguiente cuando se instalan paquetes sin firma digital validada en el anfitrión local: 


advertencia:google-talkplugin_current_current_x86_64.rpm: CabeceraV4 
DSA/SHAl Signature, ID de clave 7fac5991: NOKEY 

Preparando... ########################################### [100%] 

1:google-talkplugin_current ###################################### [100%] 


Descargue la firma digital de Google, la cual servirá para validar los paquetes para GNU/Linux en formato RPM 
que distribuye esta companía: 


wget https://dl-ssl.google.com/linux/linux_signing_key.pub 


Importe la firma digital de Google: 


rpm --import linux_signing_key.pub 


Siempre es importante verificar los paquetes antes de instalarlos. Hay varias formas de hacerlo. Para fines 
demostrativos, ingrese hacia http://get.adobe.com/es/flashplayer/ y descargue el paquete flash-plugin- 
11.2.202.632-release.x86 64.rpm. 


Una vez descargado el paquete flash-plugin, verifique la información de éste ejecutando rpm con las opciones 
-qpi (query package information, consultar información del paquete), para realizar la consulta especificando que 
se trata de un paquete RPM en el sistema de archivos. 


rpm -qpi flash-plugin-11.2.202.632-release.x86_64.rpm 


Lo anterior debe devolver una salida similar a la siguiente: 


Name 

flash-plugin 

Version 

11.2.202.632 

Release 

release 

Architecture 

x86_64 

Install Date 

mié 20 jul 2016 16:27:46 CDT 

Group 

Applications/Internet 

Size 

20443507 

License 

Commercial 

Signature 

DSA/SHAl, vie 01 jul 2016 09:05:17 CDT, Key ID 3a69bd24f6777c67 

Source RPM 

flash-plugin-11.2.202.632-release.src.rpm 

Build Date 

mar 28 jun 2016 21:46:47 CDT 

Build Host 

frbuild-lnx-bran64 

Relocations 

(not relocatable) 

Packager 

Adobe Systems Inc. 

Vendor 

Adobe Systems Inc. 

URL 

http://www.adobe.com/downloads/ 

Summary 

Description 

Adobe Flash Player 11.2 

Adobe Flash Plugin 11.2.202.632 

Fully Supported: Mozilla SeaMonkey 1.0+, Firefox 1.5+, Mozilla 1.7.13+ 


Para conocer cuáles componentes instalará un paquete en particular, ejecute rpm con las opciones -qpl, para 
realizar la consulta, especificar que se trata de un paquete sin instalar y para solicitar la lista de componentes 
(query package list). En el siguiente ejemplo se realiza esta consulta sobre el paquete flash-plugin- 
11.2.202.632-release.x86 64.rpm: 


rpm -qpl flash-plugin-11.2.202.632-release.x86_64.rpm 


Lo anterior debe devolver una salida similar a la siguiente: 
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/usr/bin/flash-player-properties 
/usr/lib64/flash-plugin 
/usr/lib64/flash-plugin/LICENSE 
/usr/lib64/flash-plugin/README 
/usr/lib64/flash-plugin/homecleanup 
/usr/lib64/flash-plugin/libflashplayer.so 
/usr/lib64/flash-plugin/setup 
/usr/lib64/kde4/kcm_adobe_flash_player.so 
/usr/share/applications/flash-player-properties.desktop 
/usr/share/doc/flash-plugin-111.2.202.359 
/usr/share/doc/flash-plugin-111.2.202.359/readme.txt 
/usr/share/icons/hicolor/16xl6/apps/flash-player-properties.png 
/usr/share/icons/hicolor/22x22/apps/flash-player-properties.png 
/usr/share/icons/hicolor/24x24/apps/flash-player-properties.png 
/usr/share/icons/hicolor/32x32/apps/flash-player-properties.png 
/usr/share/icons/hicolor/48x48/apps/flash-player-properties.png 
/usr/share/kde4/services/kcm_adobe_flash_player.desktop 


Para verificar si las firmas digitales de un paquete son las mismas y el paquete está íntegro y sin alteraciones, 
ejecute rpm con las opción -K, que solicita verificar firmas digitales de un paquete RPM ( Keys)\ 


rpm -K flash-plugin-11.2.202.632-release.x86_64.rpm 


La salida será similar a la siguiente si el paquete está integro: 


flash-plugin-11.2.202.632-release.x86_64.rpm: shal md5 BIEN 


La salida será similar a la siguiente si el paquete RPM está danado, alterado o corrupto: 


flash-plugin-11.2.202.632-release.x86_64.rpm: (shal) dsa shal MD5 GPG NOT OK 


Para instalar un paquete, ejecute rpm con las opciones -ivh, que significa instalar, devolver una salida 
descriptiva y mostrar una barra de progreso (install verbose hash). Si el paquete está exento de conflicto con 
otro y/o respeta sin sobre-escribir componentes de otro paquete, se procederá a instalar el mismo. En el 
siguiente ejemplo se instalará el paquete flash-plugin-11.2.202.632-release.x86 64.rpm: 


rpm -ivh flash-plugin-11.2.202.632-release.x86_64.rpm 


La salida será similar a la siguiente si todas las dependencias del paquete flash-plugin-11.2.202.632- 
release.x86 64.rpm están cubiertas: 


Preparing... ########################################### [100%] 

1:flash-plugin ########################################### [100%] 


Si hubiera una versión de éste paquete instalada en el sistema, rpm -ivh no realizará la instalación y devolverá 
un mensaje respecto a que la está instalado dicho paquete. Ejecute nuevamente lo siguiente: 


rpm -ivh flash-plugin-11.2.202.632-release.x86_64.rpm 


La salida es similar a la siguiente si el paquete flash-plugin ya estaba instalado: 


Preparing... ########################################### [100%] 

flash-plugin-11.2.202.632-release.x86_64.rpm is already installed 
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Hay circunstancias y escenarios donde se requiere reinstalar de nuevo el paquete. Para lograr ésto se agrega la 
opción -force para forzar la re-instalación de un paquete. En el siguiente ejemplo ejecuta rpm forzando la re- 
instalación de el paquete flash-plugin-11.2.202.632-release.x86 64.rpm: 


rpm -ivh --force flash-plugin-11.2.202.632-release.x86_64.rpm 


Lo anterior debe devolver una salida similar a la siguiente: 


Preparing... ########################################### [100%] 

1:flash-plugin ########################################### [100%] 


Para verificar las dependencias de un paquete descargado, ejecute rpm con las opciones -qp y -requires, la 
cual consulta las dependencias del paquete. En el siguiente ejemplo, se consultan las dependencias del 
paquete flash-plugin-11.2.202.632-release.x86 64.rpm: 


rpm -qp --requires flash-plugin-11.2.202.632-release.x86_64.rpm 


Lo anterior debe devolver una salida similar a la siguiente: 


glibc >=2.4 

/bin/sh 

/bin/sh 

/bin/sh 

/bin/sh 

rpmlib(PayloadFilesHavePrefix) <= 4.0-1 
rpmlib(CompressedFileNames) <= 3.0.4-1 


Pueden hacerse consultas a la inversa de lo anterior, es decir, hacer una consulta a la base de datos de rpm 
qué paquete provee alguna dependencia en particular. En el siguiente ejemplo se ejecutará rpm para consultar 
qué paquete provee la dependencia /bin/sh. 


rpm -q --whatprovides /bin/sh 


Lo anterior debe devolver una salida similar a la siguiente: 

bash-4.2.10-4.fCl4.al.X86_64 

También puede consultarse qué requiere de un paquete o componente en particular. En el siguiente ejemplo se 
consulta a la base de datos de rpm qué paquetes requieren al paquete bash. 

rpm -q --whatrequires /bin/sh 


Lo anterior puede devolver una salida similar a la siguiente: 


rsyslog-4.6.3-3.fcl4.X86_64 
jline-0.9.94-0.6.fcl4.noarch 
dracut-009-12.fcl4.al.noarch 
sendmail-8.14.5-2.fcl4.al.2.x86_64 
autofs-5.0.5-31.fCl4.X86_64 
cronie-1.4.8-2.fcl4.x86_64 

PackageKit-command-not-found-0.6.21-3.fcl4.al.x86_64 
initscripts-9.20.2-2.fcl4.al.1.x86_64 
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De ser necesario, se puede incluso hacer consultas respecto a archivos (como bibliotecas compartidas) para 
conocer qué paquetes dependen de éstos. En el siguiente ejemplo se consulta a la base de datos de rpm qué 
paquetes requieren a la biblioteca compartida libbz2.so.l()(64bit): 


rpm -q --whatrequires "libbz2.so.1()(64bit)" 


Lo anterior debe devolver una salida similar a la siguiente y que consiste en una lista de paquetes RPM 
instalados en el sistema que dependen de la biblioteca compartida libbz2.so.l()(64bit): 


bzip2-libs-1.0.5-7.el6_0.x86_64 
bzip2-l.0.5-7.el6_0.X86_64 
gnupg2-2.0.14-4.el6.x86_64 
deltarpm-3.5-0.5.20090913git.el6.x86_64 
python-2.6.6-29.el6.X86_64 
libsemanage-2.0.43-4.1.el6.x86_64 
rpm-4.8.0-19.el6_2.1.X86_64 
rpm-libs-4.8.0-19.el6_2.1.X86_64 
rpm-python-4.8.0-19.el6_2.1.x86_64 
elinks-0.12-0.20.pre5.el6.x86_64 
tokyocabinet-1.4.33-6.el6.x86_64 
libarchive-2.8.3-4.el6_2.x86_64 
genisoimage-1.1.9-11.el6.x86_64 
gnome-vfs2-2.24.2-6.el6.x86_64 
libgsf-1.14.15-5.el6.X86_64 

gstreamer-plugins-bad-free-0.10.19-2.el6.x86_64 
yelp-2.28.1-13.el6_2.X86_64 


Acceda hacia la página para descargar el complemento para GoogleTalk y descargue el paquete google- 
talkplugin_current_current_x86 64.rpm. 


Para instalar o actualizar un paquete, ejecute rpm con las opciones -Uvh, que significa instalar o actualizar, 
devolver una salida descriptiva y mostrar una barra de progreso ( update , verbose, hash) y se procede a instalar 
y/o actualizar el mismo: 


rpm -Uvh google-talkplugin_current_current_x86_64.rpm 


Si las dependencias necesarias están instaladas en el sistema, la salida será similar la siguiente: 


Preparando... ########################################### [100%] 

1:google-talkplugin_current ###################################### [100%] 


La salida será similar a la siguiente si faltan dependencias por satisfacer: 


error: Error de dependencias: 

lsb >= 4.0 es necesario por google-talkplugin_current-5.41.3.0-l.x86_64 
libatk-1.0.so.0 es necesario por google-talkplugin_current-5.41.3.0-l.x86_64 
libgconf-2.so.4 es necesario por google-talkplugin_current-5.41.3.0-l.x86_64 
libxss.so.l es necesario por google-talkplugin_current-5.41.3.0-l.x86_64 
libxcomposite.so.l es necesario por google-talkplugin_current-5,41.3.0-l.x86_64 
libxfixes.so.3 es necesario por google-talkplugin_current-5.41.3.0-l.x86_64 


Evidentemente se deben instalar primero los paquetes que cubran las dependencias necesarias para poder 
instalar el paquete google-talkplugin_current_current_x86 64.rpm. Los paquetes necesarios pueden estar 
incluidos en el disco de instalación o bien estar incluidos en los almacenes de paquetería en línea. Salvo que se 
conozcan los paquetes correspondientes y se desee hacer todo manualmente, lo más recomendable es instalar 
las dependencias a través de yum —CentOS, Fedora™ y Red Hat™ Enterprise Linux— o bien yast o zypper — 
openSUSE™ y SUSE™ Linux Enterprise. 
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Algunos paquetes incluyen guiones que ejecutan procesos que pueden ser requeridos previo o posterior a la 
instalación de éstos. Para omitir la ejecución de estos guiones, anada a rpm -ivh o rpm -Uvh la opción 
-noscripts. En el siguiente ejemplo, se instalará el paquete google-talkplugin_current„current x86 64.rpm 
sin la ejecución de los guiones que pudieran estar definidos dentro del paquete RPM: 

rpm -Uvh --noscripts google-talkplugin_current_current_x86_64.rpm 

37.2.3.1. Recuperación de permisos originales. 

En circunstancias en las cuales se realizaron cambios en los permisos en el sistema de archivos, es posible 
regresar éstos a los permisos originales de acuerdo a las especificaciones de los paquetes RPM involucrados, 
ejecute rpm con la opción --setperms, como se muestra en el siguiente ejemplo: 

rpm --setperms paquete 

Visualice el permiso actual del archivo /bin/cp ejecutando lo siguiente: 
ls -1 /bin/cp 

Lo anterior puede devolver una salida similar a la siguiente: 

-rwxr-xr-x. 1 root root 116696 dic 7 2011 /bin/cp 

Cambie el permiso del archivo /bin/cp ejecutando lo siguiente: 

chmod 700 /bin/cp 

Vuelva a visualizar el permiso del archivo /bin/cp ejecutando lo siguiente: 
ls -1 /bin/cp 

Lo anterior debe devolver una salida similar a la siguiente: 

-rwx-. 1 root root 116696 dic 7 2011 /bin/cp 

El archivo /bin/cp pertenece al paquete coreutils y puede confirmarlo ejecutando lo siguiente: 
rpm -qf /bin/cp 

Lo anterior debe devolver una salida similar a la siguiente: 

coreutils-8.4-16.el6.x86_64 

Una vez que se ha determinado a cuál paquete pertenece, para recuperar el permiso original del archivo 
/bin/cp, ejecute lo siguiente: 

rpm --setperms coreutils 

Vuelva a ver el permiso de /bin/cp ejecutando lo siguiente: 
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ls -1 /bin/cp 

Lo anterior debe devolver una salida que muestra el permiso original del archivo /usr/bin/passwd: 

-rwxr-xr-x. 1 root root 116696 dic 7 2011 /bin/cp 


37.2.4. Desinstalación de paquetes. 

Ejecute rpm con la opción -e seguida del nombre de un paquete o paquetes para desinstalar. En el siguiente 
ejemplo se desinstalarán los paquetes nc y wget: 


rpm -e nc wget 


Lo anterior sólo devolverá el símbolo de sistema si se carece de dependencias que impidan proceder. 

Si el paquete —o alguno de sus componentes— fuera dependencia de otro u otros paquetes, rpm informará 
que es imposible desinstalar éste y devolverá la lista de paquetes que dependen del mismo. En el siguiente 
ejemplo se intentará desinstalar el paquete python: 


rpm -e python 


La salida sería similar a la siguiente porque el paquete python es requerido por muchos otros paquetes 
instalados en el sistema: 


error: Error de dependencias: 

python(abi) = 2.6 se necesita para (instalado) python-iniparse-0.3.1-2.1.el6.noarch 

python(abi) = 2.6 se necesita para (instalado) python-pycurl-7.19.0-8.el6.x86_64 

python(abi) = 2.6 se necesita para (instalado) python-urlgrabber-3.9.1-8.el6.noarch 

python(abi) = 2.6 se necesita para (instalado) yum-metadata-parser-1.1.2-16.el6.x86_64 

python(abi) = 2.6 se necesita para (instalado) pygpgme-0.1-18.20090824bzr68.el6.x86_64 

python(abi) = 2.6 se necesita para (instalado) newt-python-0.52.11-3.el6.x86_64 

/usr/bin/python se necesita para (instalado) gnome-panel-2.30.2-14.el6.x86_64 
/usr/bin/python se necesita para (instalado) totem-2.28.6-2.el6.x86_64 
/usr/bin/python se necesita para (instalado) system-config-firewall-1.2.27-5.el6.noarch 
/usr/bin/python se necesita para (instalado) redhat-lsb-4.0-3.el6.centos.x86_64 
/usr/bin/python2 se necesita para (instalado) firstboot-1.110.11-1.el6.x86_64 


Para desinstalar cualquier paquete sin importar que otros dependan de este, se puede utilizar con la opción 
--nodeps. Esto es contraindicado y sólo debe ser utilizado en situaciones muy particulares. Evite siempre 
desinstalar paquetes que sean dependencia de otros en el sistema a menos que vaya a reinstalar 
inmediatamente un paquete que cubra las dependencias que se hayan visto afectadas. 
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38. Uso de yum. 
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© 1999-2016 Joel Barrios Duenas. Usted es libre de copiar, distribuir y comunicar públicamente la obra y hacer obras derivadas bajo las condiciones siguientes: a) 
Debe reconocer y citar al autor original. b) No puede utilizar esta obra para fines comerciales. c) Si altera o transforma esta obra o genera una obra derivada, sólo 
puede distribuir la obra generada bajo una licencia idéntica a ésta. Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. 
Alguna de estas condiciones puede no aplicarse si se obtiene el permiso del titular de los derechos de autor. Los derechos derivados de usos legítimos u otras 
limitaciones no se ven afectados por lo anterior. La información contenida en este documento y los derivados de éste se proporcionan tal cual son y los autores no 
asumirán responsabilidad alguna si el usuario o lector hace mal uso de éstos. 


38.1. Introducción. 

38.1.1. Acerca de YUM. 

YUM (Yellovv Dog Updater, Modified) es una herramienta libre, escrita en Python, disenada para gestión de 
paquetes en distribuciones de GNU/Linux que utilizan RPM. Fue desarrollado por Seth Vidal y otros 
colaboradores y es mantenido actualmente como parte del proyecto Linux@DUKE de la Universidad de Duke. 
Desde que Seth Vidal trabaja en Red Hat, Inc., programadores de dicha compaiïía están implicados en el 
desarrollo de yum y han mejorado mucho su funcionalidad y desempeno. 

Actualmente es el gestor de paquetes de facto de ALDOS, CentOS, Fedora™ y Red Hata™ Enterprise Linux y 
otras distribuciones de GNU/Linux basadas sobre éstas. 

Actualizar el sistema aplicando los más recientes parches de seguridad y correctivos, es hoy más fácil gracias a 
YUM. El infierno de resolver dependencias entre paquetes RPM terminó hace muchos anos. A continuación, los 
procedimientos para utilizar yum y realizar fácilmente lo que algunos denominan « horrible, difícil y 
complicado.» 

38.2. Procedimientos 

38.2.1. Listados. 

Lo siguiente listará todos los paquetes en la base de datos yum disponibles para instalación : 


yum list available | less 


Lo siguiente listará todos los paquetes instalados en el sistema: 


yum list installed | less 


Lo siguiente listará sólo las versiones instaladas en el sistema del paquete kernel: 


yum list installed kernel 


Lo siguiente listará todos los paquetes instalados en el sistema y que pueden (y deben) actualizarse: 


yum list updates | less 


Lo siguiente listará todos los paquetes instalados, disponibles y actualizaciones: 
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yum list all | less 

Lo siguiente listará sólo los paquetes instalados, disponibles y actualizaciones cuyo nombre coincida con la 
expresión regular «*foo/s*»: 

yum list *tools* 

Lo siguiente mostrará la lista de todos los grupos de paquetes disponibles en los almacenes YUM: 
yum grouplist 

38.2.2. Búsquedas. 

Realizar una búsqueda de algún paquete o expresión regular en la base de datos en alguno de los almacenes 
YUM configurados en el sistema: 

yum search nombre-paquete 

Ejemplo: 

yum search cups 

38.2.3. Consulta de información. 

Consultar la información contenida en un paquete en particular:: 
yum info nombre-paquete 

Ejemplo: 

yum info cups 

Consultar la lista de paquetes que conforman un grupo de paquetes en particular: 
yum groupinfo "Nombre del Grupo" 

El valor de «Nombre del Grupo » es de acuerdo a la lista mostrada por la ejecución de yum grouplist. 

Ejemplo: 

yum groupinfo "Servidor Web" 

38.2.4. Instalación de paquetes. 

Instalación de paquetes con resolución automática de dependencias y a partir de los almacenes en línea: 
yum install nombre-paquete 

Ejemplo: 
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yum install elinks 

Instalación de paquetes con resolución automática de dependencias, sin verificación de firmas digitales y a 
partir de los almacenes en línea: 

yum install --nogpgcheck nombre-paquete 

Ejemplo: 

yum install --nogpgcheck elinks 

Instalación de paquetes con resolución automática de dependencias, a partir de los almacenes en línea y sin 
dialogo de confirmación: 

yum -y install nombre-paquete 

Ejemplo: 

yum -y install elinks 

Instalación de paquetes con resolución automática de dependencias y localizados en el sistema de archivos 
local: 


yum localinstall -/Descargas/paquete.rpm 

Ejemplo: 

yum localinstall google-talkplugin_current_x86_64.rpm 

Instalación de paquetes con resolución automática de dependencias, localizados en el sistema de archivos local 
y sin dialogo de confirmación: 

yum -y localinstall -/Descargas/paquete.rpm 


Ejemplo: 


yum -y localinstall google-talkplugin_current_x86_64.rpm 


Instalación de paquetes con resolución automática de dependencias, sin verificación de firmas digitales y 
localizados en el sistema de archivos local: 


yum localinstall --nopgpcheck -/Descargas/paquete.rpm 


Ejemplo: 


yum localinstall --nopgpcheck \ 

google-talkplugin_current_x86_64.rpm 


38.2.5. Instalación de grupos de paquetes 
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Instalación de grupos de paquetes con resolución automática de dependencias: 

yum groupinstall "Nombre del Grupo" 

El valor de «Nombre del Grupo » es de acuerdo a la lista mostrada por la ejecución de yum grouplist. 

Ejemplo: 

yum groupinstall "Servidor Web" 

Instalación de grupos de paquetes con resolución automática de dependencias y sin dialogo de confirmación: 

yum -y groupinstall "Nombre del Grupo" 

Ejemplo: 

yum -y groupinstall "Servidor Web" 

De modo predeterminado, la instalación de grupos sólo incluirá los paquetes obligatorios y los predeterminados. 
Para instalar los paquetes opcionales, algo poco recomendado, edite el archivo /etc/yum.conf: 

vim /etc/yum.conf 

Aíìada la opción group„package_types con los valores default, mandatory, optional. Ejemplo: 


[main] 

cachedir=/var/cache/yum/$basearch/$releasever 

keepcache=0 

debuglevel=2 

logfile=/var/log/yum.log 

exactarch=l 

obsoletes=l 

gpgcheck=l 

plugins=l 

installonly_limit=3 

group package_types=default, mandatory, optional 

# This is the default, if you make this bigger yum won't see if the metadata 

# is newer on the remote and so you'll "gain" the bandwidth of not having to 

# download the new metadata and "pay" for it by yum not having correct 

# information. 

# It is esp. important, to have correct metadata, for distributions like 

# Fedora which don't keep old packages around. If you don't like this checking 

# interupting your command line usage, it's much better to have something 

# manually check the metadata once an hour (yum-updatesd will do this). 

# metadata_expire=90m 

# PUT YOUR REPOS HERE OR IN separate files named file.repo 

# in /etc/yum.repos.d 


38.2.6. Desinstalación de paquetes. 

Evite utilizar la opción -y al desinstalar paquetes, a menos que se esté seguro de las consecuencias. 
Preferentemente siempre corrobore qué es lo que se va a desinstalar antes de responder Si o Yes. 

Para llevar a cabo la desinstalación de paquetes, junto con todo aquello que dependa de éstos: 
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yum remove nombre-paquete 

Ejemplo: 

yum remove elinks 

Para llevar a cabo la desinstalación de grupos de paquetes con resolución automática de dependencias: 
yum groupremove "Nombre del Grupo" 

El valor de «Nombre del Grupo » es de acuerdo a la lista mostrada por la ejecución de yum grouplist. 

Ejemplo: 

yum groupremove "Servidor Web" 

38.2.7. Actualizar sistema. 

Ejecute lo siguiente para actualizar el sistema: 
yum update 

Ejecute lo siguiente para actualizar el sistema sin dialogo de confirmación: 
yum -y update 

Ejecute lo siguiente para actualizar el sistema omitiendo los paquetes con dependencias rotas: 
yum --skip-broken update 

Ejecute lo siguiente para actualizar sólo un paquete en particular: 
yum update nombre-paquete 

Ejemplo: 

yum update cups 

Ejecute lo siguiente para actualizar sólo un paquete en particular sin dialogo de confirmación: 
yum -y update nombre-paquete 

Ejemplo: 

yum -y update cups 

La actualización de grupos de paquetes con resolución automática de dependencias utiliza la siguiente sintaxis: 
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yum groupupdate "Nombre del Grupo" 

El valor de «Nombre del Grupo » es de acuerdo a la lista mostrada por la ejecución de yum grouplist. 

Ejemplo: 

yum groupupdate "Base de datos MySQL" 

La sintaxis para la actualización de grupos de paquetes con resolución automática de dependencias y sin 
dialogo de confirmación corresponde a lo siguiente: 

yum -y groupupdate "Nombre del Grupo" 

Ejemplo: 

yum -y groupupdate "Base de datos MySQL" 


38.2.8. Limpieza de versiones anteriores del paquete kernel. 

A diferencia de otros paquetes, los correspondientes a kernel jamás se reemplazan ni eliminan al actualizar el 
sistema. Conforme pasa el tiempo y se va actualizando el sistema, llegará un punto en el cual habrá varias 
versiones instaladas del paquete kernel. Si se permite se acumulen demasiadas, éstas mismas actualizaciones 
terminarán por llenar el espacio disponible de /boot e impedirán que se pueda continuar actualizando el sistema. 
La mejor forma de realizar la limpieza de las versiones anteriores del paquete kernel es utilizando la 
herramienta package-cleanup, incluida en el paquete yum-utils. 

Instale el paquete yum-utils: 


yum -y install yum-utils 


El programa indicado para hacer la limpieza de paquetes kernel antiguos es package-cleanup. Ejecute éste 
con la opción --oldkernels para eliminar todos los paquetes kernel del sistema excepto las dos versiones más 
recientes: 


package-cleanup --oldkernels 


Si a lo anterior aíïade la opción --count con el valor 1, se eliminarán todos los paquetes de kernel excepto la 
versión más reciente: 


package-cleanup --oldkernels --count=l 


Cabe senalar que yum y sus herramientas jamás permitirán desinstalar paquetes de kernel cuyo núcleo esté en 
ejecución. Si quiere realizar una limpieza eficiente de paquetes kernel, procure reiniciar primero con la versión 
más reciente. 

Procure realizar la limpieza de paquetes kernel al menos una vez al mes. Siempre verifique que el sistema 
funciona correctamente con la versión más reciente del paquete kernel antes de realizar la limpieza. 

38.2.9. Limpieza del directorio de cache. 
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Yum deja como resultado de su uso metadatos —y a veces de paquetes por transacciones canceladas— dentro 
del directorio /var/cache/yum/. Cuando se establece la opción keepcache=l en el archivo /etc/yum.conf los 
paquetes RPM instalados prevalecen en el interior y pueden ocupar mucho espacio. 

Ejecute lo siguiente para realizar la limpieza de todo el cache de YUM (metadatos, paquetes, etc.): 

yum clean all 

Ejecute lo siguiente para eliminar sólo los metadatos: 
yum clean metadata 

Ejecute lo siguiente sólo para eliminar paquetes descargados: 
yum clean packages 

38.2.10. Verificación de la base de datos RPM. 

Ejecute lo siguiente para verificar la base de datos de RPM en busca de dependencias rotas y otros problemas: 
yum check 

38.2.11. Actualización automática del sistema. 

Es importante mantener actualizado el sistema. Las actualizaciones corrigen errores y problemas de seguridad. 
Las actualizaciones en sistemas operativos para producción jamás aplican mejoras radicales, tampoco cambian 
losABI ni losAPI. 

38.2.11.1. ALDOS, CentOS 6 y 7 y Red Hat™ Enterprise Linux 6 y 7. 

Instale el paquete PackageKit-cron: 

yum -y install PackageKit-cron 

Edite el archivo /etc/sysconfig/packagekit-background: 
vi /etc/sysconfig/packagekit-background 

Active el servicio cambiando el valor de ENABLED a yes y habilite MAILTO=root para enviar a root un reporte 
de las actualizaciones aplicadas: 
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# should we attempt to do this? (valid: yes|no) 

ENABLED=yes 

# don't install, just check (valid: yes|no) 

CHECK_ONLY=no 

# if MAILTO is set, the mail command is used to deliver PackageKit output 

# by default MAILTO is unset, so crond mails the output by itself 

MAILTO=root 

# you may set SYSTEM_NAME if you want your PackageKit emails tagged 

# differently default is output of hostname command 
#SYSTEM_NAME="" 


Reinicie el servicio crond: 

service crond restart 


38.2.11.2. CentOS 5 y Red Hat™ Enterprise Linux 5. 

Instale el paquete yum-updatesd: 

yum -y install yum-updatesd 
Edite el archivo /etc/yum/yum-updatesd.conf: 
vi /etc/yum/yum-updatesd.conf 


Cambie los valores de do_update, do_download y do_download_deps a yes. 


[main] 

# how often to check for new updates (in seconds) 
run_interval = 7200 

# how often to allow checking on request (in seconds) 
updaterefresh = 1200 

# how to send notifications (valid: dbus, email, syslog) 
emit_via = email 

# should we listen via dbus to give out update information/check for 

# new updates 
dbus_listener = yes 

# automatically install updates 

do_update = yes 

# automatically download updates 

do_download = yes 

# automatically download deps of updates 

do_download_deps = yes 


Active el servicio yum-updatesd. 


chkconfig yum-updatesd on 


Inicie el servicio yum-updatesd: 


service yum-updatesd start 


Reinicie el servicio crond: 
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service crond restart 
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39.1. Introducción. 

39.1.1. Acerca de at y batch. 

Tanto at como batch se utilizan para programar la ejecución de mandatos de una sola ocasión. En el caso de 
que se requiera programar mandatos para ser ejecutados periódicamente, se sugiere hacerlo a través de 
crontab. 

Ambos interpretan otros mandatos directamente desde la entrada estándar (STDIN) o a partir de un archivo 
especificado. Mientras que at permite especificar que un mandato sea ejecutado a una hora y fecha 
específicos, batch permite ejecutar ésté sólo cuando descienden los niveles de carga de trabajo del sistema 
hasta un nivel en particular. Ambos utilizan el intérprete de mandatos del sistema. 

39.2. Equipamiento lógico necesario. 

De modo predeterminado el servicio atd viene habilitado en los niveles de ejecución 2, 3, 4 y 5 y seguramente 
estará en ejecución. 

Salvo que se haya hecho algún cambio en el archivo /etc/sysconfig/atd, como por ejemplo para anadir algún 
argumento al inicio del servicio, es innecesario reiniciar el servicio. La ejecución de los mandatos programados 
se realiza procesando el contenido de los archivos y directorios de configuración 

39.2.1. En CentOS, Fedora™ y Red Hat™ Enterprise Linux. 

Si utiliza CentOS o Red Hat™ Enterprise Linux, el paquete at se incluye en la instalación predeterminada. De 
ser necesario, ejecute lo siguiente para instalar el paquete at: 


yum -y install at 


Para iniciar el servicio por primera vez, en caso de que recién se haya instalado atd, ejecute: 


service atd start 


39.2.2. En openSUSE™ y SUSE™ Linux Enterprise. 

El paquete at se incluye en la instalación predeterminada de openSUSE™. Si fuese necesario, instale el 
paquete at ejecutando lo siguiente: 

yast -i at 
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Para iniciar el servicio por primera vez, en caso de que recién se haya instalado at, ejecute: 
rcatd start 

39.3. Procedimientos. 

39.3.1. Archivos de configuración /etc/at.allow y /etc/at.deny. 

El archivo /etc/at.deny se utiliza para definir una lista de usuarios a los cuales se les denegará el uso de at. 
Cuando este archivo está vacío, implica que todos los usuarios del sistema pueden hacer uso de at. 

El archivo /etc/at.allow es inexistente de modo predeterminado. Cuando éste existe, sólo los usuarios listados 
en su interior pueden hacer uso de at. 

En ausencia del archivo /etc/at.allow, el sistema utilizará siempre /etc/at.deny para el control de acceso para 

at. 

En ausencia de los archivos /etc/at.allow y /etc/at.deny, sólo el usuario root puede hacer uso de at. 

39.3.2. Directorio /var/spool/at. 

Todos los mandatos programados con at y batch se almacenan dentro del directorio /var/spool/at. 

39.3.3. Uso de at. 

Puede utilizar at para ejecutar mandatos a una determinada hora y fecha. 

Puede ingresar tiempos para at en el formato HH:MM. Cuando se ejecuta con una hora que ya ha pasado, el 
sistema asume que se refiere al día siguiente. También se pueden especificar valores como midnight (media 
noche, 00:00), noon (12:00) o teatime (16:00). Ejemplo: 

at 17:30 

Para especificar la fecha se utiliza el formato nombre-del-mes día, siempre y cuando se especifique después de 
la hora de ejecución. Ejemplo: 

at 18:20 Sep 27 

Opcionalmente también se puede definir el ano. Ejemplo: 

at 18:20 Sep 27 2014 

También se puede especificar en el formato MMDDAAAA, MM/DD/AAAA o DD.MM.AAAA. Ejemplos: 

at 10:30 01152015 
at 10:30 01/15/2015 
at 10:30 15.01.2015 

Los tres ejemplos anteriores ejecutan algo el 15 de enero de 2015 a las 10:30 AM. 
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También es posible utilizar una hora específica y establecer si se ejecuta ahora (now) más unidades de tiempo, 
como horas ( hurs ), días ( days ) y semanas ( weeks ). Ejemplo: 

at 10:30 now + 15 days 

Lo anterior establece se ejecute algo a las 10:30 AM dentro de 15 días. 

at 10:30 now + 6 weeks 

Lo anterior establece se ejecute algo a las 10:30 AM dentro de 6 semanas. 

También permite establecer la ejecución utilizando today (hoy) y tomorrow (manana) como argumentos. 
Ejemplo 

at 12:25 tomorrow 

El formato completo para la definición de tiempo se puede consultar examinando el contenido del archivo 

/usr/doc/at/timespec. 

Una vez que se ejecuta at con alguna hora en particular, se escribe en pantalla el mandato o conjunto de 
mandato deseados. Pulse CTRL-D para guardar los cambios y salir del intérprete de mandatos de at. 

Utilizando la opción -f se puede utilizar un archivo específico en lugar de la entrada estándar. 

at 10:30 today -f /home/usuario/bin/trabajo.sh 

Que es lo mismo que ejecutar lo siguiente: 

at 10:30 today < /home/usuario/bin/trabajo.sh 

El manual completo de at puede consultarse ejecutando lo siguiente: 
man 1 at 

39.3.4. Uso de batch. 

Puede utilizar batch para ejecutar mandatos cuando el nivel de carga del sistema cae por debajo de 0.8 o bien 
el valor que se especifique con atrun. Cabe senalar que batch sólo permite el uso de la opción -f para definir el 
nombre de un archivo para ser utilizado en lugar de la salida estándar. Ejemplo: 

batch -f /home/usuario/bin/trabajo.sh 

Lo anterior es lo mismo que ejecutar lo siguiente: 

batch < /home/usuario/bin/trabajo.sh 

Para cambiar el valor de la carga máximo para poder ejecutar los mandatos programados con batch, se ejecuta 
atrun con la opción -I y el valor de carga deseado. Ejemplo: 

atrun -1 0.9 
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39.3.5. Uso de atq. 

Puede ejecutar atq para mostrar una lista de todos los mandatos pendientes. Cuando se ejecuta como usuario 
regular muestra exclusivamente los mandatos pendientes de ese usuario en particular. Ejemplo: 

atq 

La salida de lo anterior —cuando hay mandatos pendientes— puede ser similar a la siguiente. 


7 

Tue 

Sep 

25 

14:30:00 

2012 

a 

fulano 

5 

Thu 

Jan 

15 

10:30:00 

2015 

a 

fulano 

8 

Wed 

Sep 

26 

14:30:00 

2012 

a 

root 

6 

Thu 

Jan 

15 

10:30:00 

2015 

a 

zutano 


Cabe seíìalar que atq es en realidad un atajo de at con la opción -I. 
at -1 

Lo anterior mostrará todos los mandatos pendientes de todos los usuarios cuando se ejecuta como root. 

39.3.6. Uso de atrm. 

Puede utilizar atrm para eliminar mandatos pendientes, utilizando el número de mandato como argumento. 
Ejemplo: 

atrm 2 

Lo anterior es lo mismo que ejecutar lo siguiente: 
at -d 2 
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40.1. Introducción. 

40.1.1. Acerca del servicio crond. 

El servicio crond es proporcionado por el paquete cronie (utilizado en CentOS 6, Fedora™, openSUSE™ y 
Red Flat™ Enterprise Linux 6), el cual es un proyecto derivado de vixie-cron (utilizado en CentOS 5, Red F-lat™ 
Enterprise Linux 5 y SUSE™ Linux Enterprise 10 y 11) y que incluye mejoras en la configuración y en la 
seguridad, como la capacidad de utilizar PAM y SELinux. 

Crond es un servicio del sistema encargado de ejecutar programas en horarios determinados. Estos programas 
pueden definirse en el archivo de configuración /etc/crontab. Se puede utilizar además el directorio 
/etc/cron.d, el cual sirve para almacenar archivos con el mismo formato del archivo /etc/crontab. 

El sistema dispone además de varios directorios utilizados por el servicio crond: 

• /etc/cron.daily: todo lo que se coloque dentro de este directorio se ejecutará una vez todos los 
días. 

• /etc/cron.weekly: todo lo que se coloque dentro de este directorio se ejecutará una vez cada 
semana. 

• /etc/cron.monthly: todo lo que se coloque dentro de este directorio se ejecutará una vez al mes. 

Los archivos contenidos en estos directorios sólo puede ser modificados por root y pueden incluir archivos 
ejecutables con algún programa en BASH o programas particulares. 

El servicio utiliza también archivos localizados dentro del directorio /var/spool/cron, que son generados por los 
usuarios regulares a través de crontab con la opción -e y que permiten a éstos el poder programar la ejecución 
de programas. 

De modo predeterminado, todos los usuarios con intérprete de mandatos pueden utilizar el servicio crond, a 
través de crontab y programar, en los horarios que sean necesarios, los programas a los que se tengan 
privilegios. Es posible restringir el uso de este servicio, anadiendo la lista de nombres de los usuarios a los 
cuales se requiera denegar el uso de éste, dentro del archivo /etc/cron.deny (un nombre de usuario por 
renglón). 

El paquete correspondiente al servicio crond incluye diferentes manuales que describen el uso y configuración. 
Para obtener una descripción detallada del uso de crontab, ejecute man 1 crontab: 


man 1 crontab 
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Para obtener una descripción detallada del formato utilizado para definir las fechas a utilizar y una descripción 
detallada de la configuración del archivo /etc/crontab y el formato a seguir para los archivos que se almacenen 
dentro de los directorios de configuración mencionados, ejecute man 5 crontab: 


man 5 crontab 


40.2. Equipamiento lógico necesario. 

De modo predeterminado, tras ser instalado, el servicio crond viene habilitado en los niveles de ejecución 2, 3, 
4 y 5 y seguramente estará en ejecución. 

Salvo que se haya hecho algún cambio en el archivo /etc/sysconfig/crond, como por ejemplo para anadir 
algún argumento al inicio del servicio, es innecesario reiniciar el servicio. La ejecución de los programas se 
realizará procesando el contenido de los archivos y directorios de configuración. 

40.2.1. En CentOS, Fedora™ y Red Hat™ Enterprise Linux. 

Si utiliza CentOS 6 o Red Hat™ Enterprise Linux 6 o versiones posteriores de éstos, el paquete cronie se 
incluye en la instalación predeterminada. De ser necesario, ejecute lo siguiente para instalar el paquete cronie: 


yum -y install cronie 


Si utiliza CentOS 5 o Red Hat™ Enterprise Linux 5, éstos sistemas operativos utilizan el paquete vixie-cron, 
el cual se incluye en la instalación predeterminada. De ser necesario, ejecute lo siguiente para instalar el 
paquete vixie-cron: 


yum -y install vixie-cron 


Para iniciar el servicio por primera vez cuando recién se ha instalado cronie, sólo ejecute: 


service crond start 


40.2.2. En openSUSE™. 

El paquete cronie se incluye en la instalación predeterminada de openSUSE™. Si fuese necesario, instale el 
paquete cronie ejecutando lo siguiente: 

yast -i cronie 

Para iniciar el servicio por primera vez cuando recién se ha instalado cronie, sólo ejecute: 
rccron start 

40.2.3. SUSE™ Linux Enterprise. 

El paquete cron (alias vixie-cron) se incluye en la instalación predeterminada de SUSE™ Linux Enterprise. Si 
fuese necesario, instale el paquete cron ejecutando lo siguiente: 

yast -i cron 
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Para iniciar el servicio por primera vez cuando recién se ha instalado cronie, sólo ejecute: 


rccron start 


40.2.4. Anacron. 

Para los sistemas donde es imposible que el servicio crond se ejecute las 24 horas, los 365 días del ano, como 
ocurre en los equipos portátiles y sistemas de escritorio, conviene instalar además el paquete cronie-anacron, 
el cual se encarga de ejecutar los programas pendientes que haya sido imposible procesar con el servicio 
crond, al estar éstos contigurados en horarios en los cuales esté apagado o suspendido el sistema. 

Cabe sehalar que anacron depende de cronie o vixie-cron, según corresponda la versión del sistema 
operativo. 

40.2.4.1. Instalación en CentOS, Fedora™ y Red Hat™ Enterprise Linux. 

Si utiliza CentOS 6, Fedora™ o Red Flat™ Enterprise Linux 6, instale el paquete cronie-anacron, ejecute lo 
siguiente: 


yum -y install cronie-anacron 


Anacron se instala como un programa que en realidad se ejecuta cada hora a través de crond. 

Si utiliza CentOS 5 o Red Hat™ Enterprise Linux 5, instale el paquete anacron, ejecute lo siguiente: 
yum -y install anacron 

Si utiliza CentOS 5 o Red Hat™ Enterprise Linux 5, el servicio anacron viene activo en los niveles de ejecución 
2, 3, 4 y 5. Para iniciarlo por primera vez, ejecute lo siguiente: 

service anacron start 


40.2.4.2. Instalación en openSUSE™. 

Para instalar anacron, ejecute lo siguiente: 


yast -i cronie-anacron 


Anacron se instala como un programa que se ejecuta cada hora a través de cron. 

40.3. Procedimientos. 

40.3.1. Formato para el archivo /etc/crontab. 

Cualquier usuario que sea definido para ejecutar un programa en el archivo /etc/crontab, podrá ejecutar todo 
aquello para lo cual tenga privilegios, siempre y cuando se defina un intérprete de mandatos válido (por ejemplo 
/bin/bash o /bin/sh) en la variable de entorno SHELL, así como las rutas de binarios ejecutables que sean 
necesarias, sin importar lo que esté definido en el archivo /etc/passwd o las variables de entorno definidas en 
el archivo -/.bashrc del usuario a utilizar. 
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SHELL=/bin/bash 

PATH=/sbin:/bin:/usr/sbin:/usr/bin 

MAILTO=root 


El archivo /etc/crontab permite además definir a cuál usuario enviar un mensaje de correo electrónico con los 
resultados de las salidas de los programas que las generen y el intérprete de mandatos a utilizar. 


SHELL=/bin/bash 

PATH=/sbin:/bin:/usr/sbin:/usr/bin 

MAILTO=alguien@gmail.com 


El archivo utiliza un formato de 7 campos, donde se define, respectivamente, minuto, hora, día del mes, mes, 
día de la semana, usuario a utilizar y el programa a ejecutar 


Minuto (0 - 59) 

Hora (0 - 23) 

Dia del mes (1 - 31) 

Mes (1 - 12) 

Dia de la semana (0 - 6) (domingo=0 o 7), y 
también acepta como valores: 
mon, tue, wed, thu, fri, sat y sun 
Usuario 

Programa a ejecutar 

i i i i i i i 

1 14 * * * fulano /home/fulano/bin/tarea.sh > /dev/null 2>&1 



40.3.1.1. Formato exclusivo de cronie. 

A diferencia de vixie-cron, con cronie se pueden omitir los primeras 5 campos y en su lugar utilizar las 
siguientes opciones: 


• @reboot (ejecutar una vez después de reiniciar el sistema) 

• @yearly y @annually (ejecutar anualmente, es decir: «0011 *») 

• @monthly (ejecutar mensualmente, es decir: «0 0 1 * *») 

• @weekly (ejecutar semanalmente, es decir: «0 0 * * 0 ») 

• @daily (ejecutar diariamente, es decir: «0 0 * * *») 

• @hourly (ejecutar cada hora, es decir: «0 * * * *») 

Formato para utilizar con crontab -e. 

Todos los usuarios del sistema pueden ejecutar crontab con la opción -e, a excepción de aquellos quienes 
tengan /dev/null (dispositivo nulo) como intérprete de mandatos o bien que se encuentren listados en el archivo 

/etc/cron.deny. 

Para los usuarios que tengan /sbin/nologin como intérprete de mandatos, será necesario se defina /bin/bash 
o /bin/sh en la variable de entorno SHELL al inicio del archivo cron correspondiente. Con este tipo de usuarios, 
habría que ejecutar lo siguiente para poder hacer uso de crontab. 

su -1 usuario -s /bin/bash -c "crontab -e" 
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El formato para los usuarios —cuando se utiliza crontab con la opción -e — es el mismo que el del archivo 
/etc/crontab, pero descartando la columna que define al usuario. 


i i 

1 14 


- Minuto (0 - 59) 

- Hora (0 - 23) 

.-■ Día del mes (1 - 31) 

| .- Mes (1 - 12) 

j | .-. oía de la semana (0 - 6) (domingo=0 

i j | también acepta como valores: 

| | | mon, tue, wed, thu, fri, sat y sun 

I j | .-. programa a ejecutar 

1111 

* * * /home/fulano/bin/tarea.sh > /dev/null 2>&1 


o 


7), 


y 


Todos los archivos de cron generados por los usuarios se almacenan siempre dentro del directorio 
/var/spool/cron, utilizando el mismo nombre del usuario como nombre de archivo. En otras palabras: todos los 
programas definidos por el usuario fulano se almacenarán en el archivo /var/spool/cron/fulano. 

40.3.2. Ejemplos de configuraciones. 

Considerando el siguiente ejemplo: 

1 1 * * * root freshclam > /dev/null 2>&1 

Lo anterior significa que a las 01:01, todos los días, todos los meses, todos los anos, todos los días de la 
semana, se ejecutará freshclam como root. Se ahade al final «> /dev/null 2>&1» para que cualquier dato 
generado por la ejecución de este proceso se descarte y sea enviando al dispositivo nulo del sistema 
(/dev/null) y que también se envíe la salida de STDERR hacia STDOUT. 

Considerando el siguiente ejemplo: 

0 23 * * 5 root yum -y update > /dev/null 2>&1 

Lo anterior significa que a las 23:00, todos los viernes, todos los meses, todos anos, se ejecutará yum -y 
update como root. Al igual que en el ejemplo anterior, se ahade al final «> /dev/null 2>&1» para que cualquier 
dato generado por la ejecución de este proceso se descarte y sea enviando al dispositivo nulo del sistema 
(/dev/null) y que también cambie el direccionamiento de STDERR hacia STDOUT. 

Considerando el siguiente ejemplo: 

*/5 * * * * root /sbin/service httpd reload > /dev/null 2>&1 

Lo anterior significa que cada 5 minutos se ejecutará /sbin/service httpd reload como root. 

Considerando el siguiente ejemplo: 

* */3 * * * root /sbin/service httpd reload > /dev/null 2>&1 

Lo anterior significa que cada 3 horas se ejecutará /sbin/service httpd reload como root . 

Considerando el siguiente ejemplo: 

* * */3 * * root /sbin/service httpd reload > /dev/null 2>&1 
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Lo anterior significa que cada 3 días se ejecutará /sbin/service httpd reload como root. 

Considerando el siguiente ejemplo: 

30 10 20 2 * fulano wall "iFeliz cumpleanos a mi!" 

Lo anterior significa que a las 10:30, cada 20 de febrero, todos lo anos, se ejecutará wall "jFeliz cumpleanos 
a mi!" como el usuario fulano. 

Considerando el siguiente ejemplo: 

ireboot fulano mail -s "E1 sistema ha reiniciado" alguienigmail.com 

Lo anterior significa que cada vez que se reinicie el sistema, se ejecutará mail -s "El sistema ha reiniciado" 
como el usuario fulano, mismo que enviará con mensaje de correo electrónico a alguien@gmail.com con el 
asunto "El sistema ha reiniciado". 
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41. Asignación de cuotas en el sistema de archivos. 

Autor: Joel Barrios Duehas 

Correo electrónico: darkshram en gmail punto com 

Sitio de Red: http://www.alcancelibre.org/ 


Creative Commons Reconocimiento-NoComercial-Compartirlgual 2.1 


© 1999-2016 Joel Barrios Duenas. Usted es libre de copiar, distribuir y comunicar públicamente la obra y hacer obras derivadas bajo las condiciones siguientes: a) 
Debe reconocer y citar al autor original. b) No puede utilizar esta obra para fines comerciales. c) Si altera o transforma esta obra o genera una obra derivada, sólo 
puede distribuir la obra generada bajo una licencia idéntica a ésta. Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. 
Alguna de estas condiciones puede no aplicarse si se obtiene el permiso del titular de los derechos de autor. Los derechos derivados de usos legítimos u otras 
limitaciones no se ven afectados por lo anterior. La información contenida en este documento y los derivados de éste se proporcionan tal cual son y los autores no 
asumirán responsabilidad alguna si el usuario o lector hace mal uso de éstos. 


41.1. Introducción. 

La utilización de cuotas en el sistema de archivos permite a los administradores de sistemas realizar la gestión 
eficiente del espacio compartido en disco por múltiples usuarios. Las cuotas restringen la capacidad de los 
usuarios para acceder hacia los recursos de sistema, tales como bloques (asignación de unidades), e inodos 
(entradas del sistema de archivos). Cuando una cuota es excedida se aplica una política determinada por el 
administrador. Las cuotas se administran individualmente por cada sistema de archivos y son únicas para 
usuarios y/o grupos. 

41.1.1. Acerca de las cuotas. 

Una cuota de disco es un límite establecido por un administrador, el cual restringe ciertos aspectos del uso del 
sistema de archivos. El objetivo de las cuotas es limitar, de forma razonable, el espacio utilizado en el sistema 
de archivos. Suelen configurarse en servidores de correo electrónico, servidores HTTP con anfitriones virtuales, 
servidores de archivos, en algunos sistemas de escritorio y en cualquier escenario donde el administrador del 
sistema necesite controlar el espacio utilizado por lo usuarios en el sistema de archivos. 

41.1.2. Acerca de Inodos. 

De acuerdo a Wikipedia, un inodo, nodo-i o también nodo índice, es una estructura de datos propia de los 
sistemas de archivos en sistemas operativos tipo POSIX (Portable Operating System Interface for Unix), como 
GNU/Linux. Un inodo contiene las características (permisos, fechas y ubicación) de un archivo regular, 
directorio o cualquier otro elemento que pueda contener el sistema de archivos. 

Cada inodo queda identificado en el sistema de archivos por un número entero único y los directorios recogen 
una lista de parejas formadas por un número de inodo y un nombre identificativo que permite acceder a un 
archivo en particular. Cada archivo tiene un único inodo, pero puede tener más de un nombre en distintos 
lugares o incluso en el mismo directorio, para facilitar su localización. 

41.1.3. Acerca de Bloques. 

De acuerdo a Wikipedia, un bloque es la cantidad más pequena de datos que pueden transferirse en una 
operación de entrada/salida entre la memoria principal de una computadora y sus dispositivos periféricos o 
viceversa. 

41.1.4. ^En qué casos puede ameritar configurar cuotas en el sistema de archivos? 

Puede aplicar cuotas en el sistema de archivos en aquellos servidores donde se desee limitar el sudo de 
sistema de archivos a los usuarios locales. Ejemplos: 

• Servidores de archivos son Samba. 
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• Servidores con servicio de FTP, FTPES o SFTP. 

• Servidores de correo que utilicen mbox o Maildir sin cuotas IMAP. 

Tiene poco o ningún sentido aplicar cuotas de sistema de archivos en servidores con servicios que utilizan su 
propio sistema de cuotas. Ejemplo: 

• Servidores de correo con Cyrus-IMAP. 

• Servidores de correo con Dovecot utilizando Maildir con cuotas IMAP. 

• Servidores con aplicaciones con su propio sistema de cuotas como ovvnCloud. 

• Servidores cuyo único propósito son bases de datos y directorios LDAP. 

Equipamiento lógico necesario. 

41.1.5. En ALDOS, CentOS, Fedora™ y Red Hat™ Enterprise Linux. 

El paquete quota viene incluido en la instalación estándar. Si se hizo una instalación mínima, puede instalarse 
ejecutando lo siguiente: 


yum -y install quota 


41.1.6. En openSUSE™ y SUSE™ Enterprise Linux. 

El paquete quota viene incluido en la instalación estándar de SUSE™ Linux Enterprise Server. Ejecute lo 
siguiente si se hizo una instalación mínima: 

yast -i quota 


41.2. Procedimientos. 

Durante la instalación del sistema operativo debió asignarse una partición dedicada a cada uno los directorios 
/home y /var. Éstos son los únicos directorios debajo de los cuales los usuarios regulares pueden escribir datos 
—directorios de inicio y buzones de correo— y por tanto los únicos donde amerita aplicar cuotas al sistema de 
archivos. 

41.2.1. Configuración manual de /etc/fstab. 

Edite el archivo /etc/fstab. 


vi /etc/fstab 


41.2.1.1. Sistema de archivos Ext3 y Ext4. 

Si utiliza Ext4 como sistema de archivos en CentOS 6, Fedora™, Red Hat™ Enterprise Linux 6 o SUSE™ 
Linux Enterprise 11, puede utilizar cuotas con registro por diario (journaled quotas) sin modificar el núcleo del 
sistema o instalar otra versión de quota-tools. Las cuotas con registro por diario funcionan de modo similar al 
registro por diario de los sistemas de archivos Ext3/Ext4, garantizando ia integridad de los archivos de cuotas, 
lo cual evita que el sistema se vea obligado a ejecutar automáticamente quotacheck después de un apagado 
incorrecto. 

Anada a la columna de opciones de las particiones /var y /home, la opción usrjquota con el valor aquota.user, 
la opción grpjquota con el valor aquota.group y la opción jqfmt con el valor vfsvO: 
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Si utiliza Ext3 o Ext4 en ALDOS, CentOS o Red Hat™ Enterprise Linux, el siguiente es un ejemplo de cómo 
pudiera quedar la configuración de las particiones. 


/dev/sda7 /var ext4 defaults,usrjquota=aquota.user,grpjquota=aquota.group,jqfmt=vfsvO 1 2 
/dev/sda5 /home ext4 defaults,usrjquota=aquota.user,grpjquota=aquota.group,jqfmt=vfsvO 1 2 


Si utiliza Ext3 o Ext4 openSUSE™ o SUSE™ Linux Enterprise Linux, el siguiente es un ejemplo de cómo 
pudiera quedar la configuración de las particiones. 


/dev/sda7 /var ext3 acl,user xattr,usrjquota=aquota.user,grpjquota=aquota.group,jqfmt=vfsvO 1 2 
/dev/sda5 /home ext3 acl,user xattr,usrjquota=aquota.user,grpjquota=aquota.group,jqfmt=vfsvO 1 2 


Nota. 

Si utiliza CentOS 5, Red Hat™ Enterprise Linux 5 o SUSE™ Linux Enterprise 10, oficialmente éstos carecen de 
soporte para cuotas con registro por diario. Requieren un parche en el núcleo de Linux para poder hacer uso de éstas. 

En estos sistemas operativos sólo se pueden utilizar cuotas sin registro por diario, por lo cual sólo se deben ahadir las 
opciones usrquota y grpquota en el archivo /etc/fstab, en la columna de opciones correspondientes a las particiones 
/var y /home. Ejempío: 


LABEL=/var 

/var 

ext3 

defaults, usrquota,grpquota 

1 2 

LABEL=/home 

/home 

ext3 

defaults, usrquota,grpquota 

1 2 


41.2.1.2. Sistema de archivos Xfs. 

Si utiliza Xfs como sistema de archivos en ALDOS, CentOS o Red Hat™ Enterprise Linux, el soporte de 
cuotas ya incluye registro por diario. El siguiente es un ejemplo de cómo pudiera quedar la configuración de las 
particiones. 


/dev/mapper/centos-var /var xfs defaults,usrquota,grpquota 0 0 
/dev/mapper/centos-home /home xfs defaults,usrquota,grpquota 0 0 

41.2.2. Configuración de /etc/fstab a través de YaST en openSUSE™ o SUSE™ Linux 
Enterprise Linux. 

Ejecute yast con disk como argumento: 


yast disk 


Lea la advertencia, seleccione «Yes» y pulse la tecla t- 1 (ENTER). 
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Aparecerá una pantalla con el resumen del dispositivo correspondiente a «/ home». Seleccione Edit y pulse la 
tecla ^ (ENTER). 
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Aparecerá la pantalla de edición de «/home». Seleccione «Fstab Options» y pulse la tecla < J (ENTER). 



Seleccione la casilla «Enable Quota Support», pulse la tecla espaciadora para habilitar la opción y pulse la 
tecla ^ (ENTER). 
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Regresará a la pantalla de edición de /home. Seleccione «Finish» y pulse la tecla « J (ENTER). 



Regresará al resumen del dispositivo correspondiente a «/home». 
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Seleccione la partición o volumen lógico correspondiente a «/var», pulse la tecla ^ (ENTER), seleccione Edit y 
pulse latecla ^ (ENTER). 



Aparecerá la pantalla de edición de «/var». Seleccione «Fstab Options» y pulse la tecla (ENTER). 
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Seleccione la casilla «Enable Quota Support», pulse la barra espaciadora para habilitar la opción y pulse la 
tecla ^ (ENTER). 




riHTiîrrgg'. 





(Finishl 


nn w 


Regresará a la pantalla de edición de «/var». Seleccione «Finish» y pulse la tecla « J (ENTER). 
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Regresará al resumen del dispositivo correspondiente a «/var». Seleccione «Next» y pulse latecla « J (ENTER). 



Aparecerá un resumen con las operaciones que se realizarán. Seleccione «Finish» y pulse latecla < J (ENTER). 
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Regresará al intérprete de mandatos. 

41.2.3. Aplicar cambios, crear archivos de quotas y activar quotas. 

41.2.3.1. Sistema de archivos Ext3 y Ext4. 

Deben aplicarse los cambios realizados a /home y /var reiniciando el sistema o bien ejecutando lo siguiente: 


mount -o remount /home 
mount -o remount /var 


Lo anterior vuelve a leer las opciones de montado de cada una de las particiones y aplicá los cambios 
inmediatamente. 

Ejecute quotacheck con las opciones -avugcm, donde a significa que se verifican todos los sistemas de 
archivos con soporte para cuotas, v significa que se devuelvan mensajes descriptivos, u significa que se 
verifiquen cuotas de usuario, g significa que se verifiquen cuotas de grupo, c significa omitir verificar archivos 
de cuota previos y crear nuevos archivos y m significa que se evite re-montar en modo de sólo lectura los 
sistemas de archivos, que idealmente se utiliza cuando se tiene procesos trabajando en las particiones: 

quotacheck -avugcm 


El manual de quotacheck puede consultarse ejecutando lo siguiente: 
man 8 quotacheck 

Para activar las cuotas recién configuradas, asumiendo que se están configurando las particiones 
correspondientes a /home y /var, ejecute lo siguiente: 
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quotaon /home 
quotaon /var 


A partir de este momento podrá aplicar cuotas en el sistema de archivos a todos los usuarios del sistema 
utilizando edquota. 

41.2.3.2. Sistema de archivos Xfs. 

Xfs requiere desmontar y volver a montar las particiones modificadas, pues carece de soporte para utilizar la 
opción remount para mount. Reinicie el sistema para aplicar los cambios si así es el caso. 

41.2.4. Edquota. 

Edquota se utiliza para gestionar las cuotas asignadas a usuarios y/o grupos. El manual de éste puede 
consultarse ejecutando lo siguiente: 


man 8 edquota 


Es importante conocer que significa cada campo mostrado por edquota. 


Blocks: Bloques. Corresponde a la cantidad de bloques de 1 Kb que está utilizando el usuario en cada sistema de 
archivos con soporte para cuotas. Jamás se debe modificar los datos de este campo. 

Inodes: Inodos. Corresponde al número de archivos que está utilizando el usuario. Un inodo (también conocido como 
Index Node) es un apuntador hacia sectores específicos en la unidad de almacenamiento en los cuales se encuentra la 
información de un archivo. Contiene además la información acerca de permisos de acceso así como los usuarios y 
grupos a los cuales pertenece el archivo. Jamás se debe modificar los datos de este campo. 

Soft: Limite de gracia. Limite de bloques de 1 KB o inodos que el usuario tiene permitido utilizar y que puede rebasar 
hasta que sea excedido el periodo de gracia (de modo predeterminado son 7 días). 

Hard: Limite absoluto. Limite que no puede ser rebasado por el usuario bajo circunstancia alguna. 


Ejecute edquota especificando como argumento el nombre del usuario para asignar cuotas a cualquier usuario 
regular. Ejemplo: 


edquota fulano 


Lo anterior deberá devolver algo similar a lo siguiente: 


Disk quotas 

for user 

fulano (uid 

501): 




Filesystem 

blocks 

soft 

hard 

inodes 

soft 

hard 

/dev/sda7 

8 

0 

0 

1 

0 

0 

/dev/sda5 

24 

0 

0 

10 

0 

0 


Ejecute edquota con la opción -g y especificando como argumento el nombre del grupo para asignar cuotas a 
cualquier grupo de usuarios regulares. Ejemplo: 


edquota -g desarrollo 


Lo anterior deberá devolver algo similar a lo siguiente: 
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Disk quotas 

for group desarrollo 

(gid 510): 



Filesystem 

blocks 

soft 

hard inodes 

soft 

hard 

/dev/sda7 

4238 

0 

0 251 

0 

0 

/dev/sda5 

6234 

0 

0 340 

0 

0 


Cuando se asignan cuotas a grupos, estás definen los límites en conjunto para todo el grupo de usuarios que 
pertenezcan a un grupo determinado. 

41.2.4.1. Cuota absoluta. 

Suponiendo que se quiere asignar una cuota de disco de 50 MiB para el usuario «fulano» en en /dev/sda7 y 
/dev/sda5, se utilizaría lo siguiente: 


Disk quotas 
Filesystem 

for user 
blocks 

fulano (uid 
soft 

501): 
hard 

inodes 

soft 

hard 

/dev/sda7 

8 

0 

51200 

1 

0 

0 

/dev/sda5 

24 

0 

51200 

10 

0 

0 


El usuario siempre podrá rebasar una cuota de gracia pero nunca una cuota absoluta. 

41.2.4.2. Cuota de gracia. 

De modo predeterminado el sistema asigna un periodo de gracia de 7 días, que se puede modificar 
ejecutando edquota con la opción -t: 

edquota -t 


Donde se puede establecer un nuevo periodo de gracia, ya sea por días, horas, minutos o segundos. 


Grace period before enforcing soft limits for users: 
Time units may be: days, hours, minutes, or seconds 
Filesystem Block grace period Inode grace period 
/dev/hdb7 7days 7days 

/dev/hdb5 7days 7days 


La cuota de gracia establece los límites de bloques o inodos que un usuario tiene en un sistema de archivos 
en particular. Cuando el usuario excede el límite establecido por la cuota de gracia, el sistema advierte al 
usuario que se ha excedido la cuota del disco sin embargo permite al usuario continuar escribiendo hasta que 
trascurre el tiempo establecido por el periodo de gracia, tras el cual al usuario se le impide continuar escribiendo 
sobre el sistema de archivos. Suponiendo que quiere asignar una cuota de gracia de 25 MiB en /dev/sda7 y 
/dev/sda5, la cual podrá ser excedida hasta por 7 días, se utilizaría la siguiente configuración: 


Disk quotas 
Filesystem 

for user 
blocks 

fulano (uid 
soft 

501): 
hard 

inodes 

soft 

hard 

/dev/sda7 

0 

25600 

0 

0 

0 

0 

/dev/sda5 

24 

25600 

0 

10 

0 

0 


41.2.4.3. Aplicando cuotas de forma masiva. 

Si se quiere aplicar un mismo esuqema de cuotas de disco para todos los usuarios regulares del sistema, a 
partir de UID 501, por mencionar un ejemplo y asumiendo que utilizará como plantilla el esquema de cuotas de 
disco del usuario «fulano», ejecute lo siguiente — por favor, note los dos acentos graves utilizados a 
continuación, pues se trata de un carácter diferente a la comilla simple: 


edquota -p fulano 'awk -F: '$3 > 501 {print $1}' /etc/passwd' 


387 









Joel Barrios Duenas 


Configuración de Servidores con GNU/Linux 


41.3. Comprobaciones. 

Acceda al sistema como root. 


Ejecute edquota con fulano como argumento para modificar los límites de este usuario: 


edquota fulano 


Asigne al usuario «fulano» una cuota de gracia de 50 MiB, una cuota absoluta de 100 MiB, un límite de gracia 
de 1000 archivos y un límite absoluto de 1500 archivos en todas las particiones con cuota de disco habilitada: 


Disk quotas 

for user 

fulano (uid 

501): 




Filesystem 

blocks 

soft 

hard 

inodes 

soft 

hard 

/dev/sda7 

0 

51200 

102400 

0 

1000 

1500 

/dev/sda5 

24 

51200 

102400 

10 

1000 

1500 


Cambie el usuario fulano. 


su -1 fulano 

Consulte el manual de quota antes de continuar: 
man 1 quota 

Ejecute quota para verificar las cuotas asignadas al usuario utilizado: 
quota 

Observe con detenimiento la salida: 


Disk quotas 

for user 

fulano 

(uid 501): 





Filesystem 

blocks 

quota 

limit grace 

files 

quota 

limit 

grace 

/dev/sda7 

8 

51200 

102400 

1 

1000 

1500 


/dev/sda5 

24 

51200 

102400 

10 

1000 

1500 



Copia el directorio /usr/lib como el sub-directorio -/prueba-cuotas: 

cp -r /usr/lib -/prueba-cuotas 


Notará que llegará un momento en el que el sistema indicará que ya es imposible continuar copiando contenido 
dentro de -/prueba-cuotas debido a que se agotó el espacio disponible para el usuario en el sistema de 
archivos. 


Ejecute de nuevo quota y observe con detenimiento la salida. En ésta aparecerá un asterisco junto a la 
cantidad mostrada en las columnas de bloques o bien inodos en los casos donde se hayan excedido las cuotas: 


Disk quotas 

for user 

fulano 

(uid 501) 






Filesystem 

blocks 

quota 

limit 

grace 

files 

quota 

limit 

grace 

/dev/sda7 

8 

51200 

102400 


1 

1000 

1500 


/dev/sda5 

102400* 

51200 

102400 

6days 

1500* 

1000 

1500 

6days 


388 





Joel Barrios Duenas 


Configuración de Servidores con GNU/Linux 


Es necesario liberar espacio para poder volver a escribir nuevamente sobre el sistema de archivos. Debido a 
que muy probablemente parte del contenido de /usr/lib se copió en modo de sólo lectura, cambie primero los 
permisos del contenido del directorio -/prueba-cuotas a fin de disponer de permisos de lectura y escritura 
requeridos para borrar: 


chmod -R u+w -/prueba-cuotas 


Elimine el directorio -/prueba-cuotas: 


rm -fr -/prueba-cuotas 


Ejecute de nuevo quota para verificar que nuevamente se está trabajando dentro de los límites establecidos: 


quota 


La salida debe ser similar a la siguiente: 


Disk quotas 

for user fulano 

(uid 501): 





Filesystem 

blocks 

quota 

limit grace 

files 

quota 

limit 

grace 

/dev/sda7 

8 

51200 

102400 

1 

1000 

1500 


/dev/sda5 

24 

51200 

102400 

10 

1000 

1500 



Salga de la sesión de fulano: 


exit 
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42.1. Introducción. 


TCP/IP fue desarrollado y presentado por el Departamento de Defensa de EE.UU. En 1972 y fue aplicado en 
ARPANET (Advanced Research Projects Agency Network), que era la red de área extensa del Departamento 
de Defensa como medio de comunicación para los diferentes organismos de EE.UU. Latransición hacia TCP/IP 
en ARPANET se concretó en 1983. 


Se conoce como familia de protocolos de Internet al conjunto de protocolos de red que son implementados 
por la pila de protocolos sobre los cuales se fundamenta Internet y que permiten la transmisión de datos entre 
ias redes de computadoras. 


Los dos protocolos más importantes y que fueron también los primeros en definirse y también los más 
utilizados, son TCP (Protocolo de Control de Transmisión o Transmission Control Protocol) e IP (Protocolo de 
Internet o Internet Protocol), de ahí que se denomine también como Conjunto de Protocolos TCP/IP. Los 
tipos de protocolos existentes superan los cien, ente los cuales podemos mencionar como los más conocidos a 
HTTP, FTP, SMTP, POP, ARP, etc. 

TCP/IP es la plataforma que sostiene Internet y que permite la comunicación entre diferentes sistemas 
operativos en diferentes computadoras, ya sea sobre redes de área local (LAN) o redes de área extensa 
(WAN). 

42.2. Niveles de pila. 

En la actualidad continúa la discusión respecto a si el modelo TCP/IP de cinco niveles encaja dentro del modelo 
OSI (Interconexión de Sistemas Abiertos u OpenSystems Interconnection) de siete niveles. 


Modelo 


Niveles 

TCP/IP 

5 Aplicación 

4 Transporte 

3 Red 

2 Enlace 

1 Físico. 


OSI 

7 Aplicación 

6 Presentación 

5 Sesión 

4 Transporte 

3 Red 

2 Enlace de datos 

1 Físico 



42.3. Modelo TCP/IP. 
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Utiliza encapsulamiento para proveer la abstracción de protocolos y servicios hacia diferentes capas en la pila. 
La pila consiste de cinco niveles: 
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Nivel 

Nombre 

Descripción 

5 

Aplicación. 

Se compone de diversos protocolos de servicios como: 

• DNS (Domain Name System) 

• TLS/SSL (Transport Layer Security) 

• TFTP (Trivial File Transfer Protocol) 

• FTP (File Transfer Protocol) 

• HTTP (Hyper Text Transfer Protocol) 

• IMAP (Internet Messsage Access Protocol) 

• IRC (Internet Relay Chat) 

• NNTP (Network News Transfer Protocol) 

• POP3 (Post Office Protocol) 

• SIP (Session Iniciation Protocol) 

• SMTP (Simple Mail Transfer Protocol) 

• SNMP (Simple Network Management Protcol) 

• SSH (Secure Shell) 

• TELNET 

• BitTorrent 

• RTP (Real-time Transport Protocol) 

• rlogin 

• ENRP (Endpoint Handlespace Redundancy Protocol) 

Los protocolos de encaminamiento como BGP (Border Gateway Protocol) y RIP (Routing 
Information Protocol) que utilizan transporte por TCP y UDP respectivamente pueden ser 
considerados como parte de esta capa. 

4 

Transporte. 

Se compone de diversos protocolos de servicios como: 

• TCP (Transmision Control Protocol) 

• UDP (User Datagram Protocol), 

• DCCP (Datagram Congestion Control Protocol) 

• SCTP (Stream Control Transmision Protococol) 
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Nivel 

Nombre 

Descripción 



• IL (Internet Link Protocol, similar a TCP pero más simple) 

• RUDP (Reliable User Datagram Protocol), etc. 

Los protocolos como OSPF (Open Shortest Path First), que corren sobre IP, pueden ser 
también considerados como parte de esta capa. ICMP (Internet Control Message Protocol) e 
IGMP (Internet Group Management Protocol) que también utilizan IP pueden ser considerados 
parte del Nivel de Red. 

3 

Red. 

Se compone de diversos protocolos de servicios como IP (incluyendo IPv4 e IPv6). Protocolos 
como ARP (Address Resolution Protocol) y RARP (Reverse Address Resolution Protocol) 
operan por debajo de IP, pero arriba del Nivel de enlace, de modo que pertenecen a un punto 
intermedio entre el Nivel de Red y el Nivel de Enlace. 

2 

Enlace. 

Compuesto de protocolos como: 

• Ethernet 

• Wi-Fi 

• Token ring 

• PPP (Point-to-Point Protocol) 

• SLIP (Serial Line Internet Protocol) 

• FDDI (Fiber Distributed Data Interface) 

• ATM (Asynchronous Transfer Protocol) 

• Frame Relay 

• SMDS (Switched Multi-megabit Data Services) 

1 

Físico. 

Medio físico. 


Los niveles más cercanos altos son los más cercanos al usuario, mientras que los que están más hacia abajo 
están más cercanos a la transmisión física de los datos. Salvo por evidentes razones en el primer y último 
niveles, cada nivel tiene un nivel superior y un nivel inferior que, respectivamente o bien utilizan un servicio del 
nivel o proveen un servicio. Un método de abstracción para entender esto es mirar los niveles como 
proveedores o consumidores de servicios. Ejemplo: TCP en el nivel de transporte requiere un protocolo del nivel 
de Red, como sería IPv4, el cual a su vez requiere de un protocolo del nivel de enlace, siendo TCP un 
proveedor de servicio para los protocolos del nivel de aplicación. 

42.3.1. Nivel de aplicación. 

Es el nivel que utilizan los programas de red más comunes a fin de comunicarse a través de una red. La 
comunicación que se presenta en este nivel es especifica de las aplicaciones y los datos transportados desde el 
programa están en el formato utilizado por la aplicación y van encapsulados en un protocolo del Nivel de 
Transporte. Siendo que el modelo TCP/IP no tiene niveles intermedios, el nivel de Aplicación debe incluir 
cualquier protocolo que actúe del mismo modo que los protocolos del Nivel de Presentación y Nivel de 
Sesión del Modelo OSI. Los protocolos del Nivel de Transporte más comúnmente utilizados son TCP y UDP, 
mismos que requieren un puerto disponible y específico para el servicio para los servidores y puertos efímeros. 
Aunque los encaminadores (routers) e interruptores (switches) no utilizan este nivel, las aplicaciones que 
controlan el ancho de banda si lo utilizan. 
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42.3.2. Nivel de Transporte. 

Este nivel principalmente provee lo necesario para conectar aplicaciones entere si a través de puertos. Mientras 
que IP (Internet Protocol),del Nivel de Red, provee solamente la mejor forma de entrega, el nivel de transporte 
es el primer nivel que se encarga de la fiabilidad. De entre todos los protocolos de este nivel, tanto TCP como 
UDP son utilizados para transportar un gran numero de aplicaciones de alto nivel. Las aplicaciones en cualquier 
nivel se distinguen a través de los puertos TCP o UDP que utilicen. 

42.3.2.1. TCP. 

El mejor ejemplo del nivel transporte. Es un protocolo orientado hacia conexión que resuelve numerosos 
problemas de fiabilidad para proveer una transmisión de bytes fiable ya que se encarga de que los datos 
lleguen en orden, tenga un mínimo de correcciones de errores, se descarten datos duplicados, se vuelvan a 
enviar los paquetes perdidos o descartados e incluya control de congestión de tráfico. 

La conexiones a través de TCP tienen tres fases: 


Establecimiento de 
la conexión. 

Antes de que el cliente intente conectarse con el servidor, éste último debe primero ligarse 
hacia el puerto para abrirlo para las conexiones, es decir, una apertura pasiva. Una vez 
establecida el cliente puede iniciar la apertura activa. Se requiere de un saludo de tres etapas: 


I. La apertura activa se realiza enviando un paquete SYN 
(sincroniza) hacia el servidor. 

II. En respuesta, el servidor responde con un paquete SYN- 
ACK (conformación de sincronización). 

III. Finalmente el cliente envía un paquete ACK (confirmación) 
de regreso hacia el servidor. 


En este punto tanto cliente como servidor han recibido una conformación de la conexión. 

Transferenciade 

datos. 

Hay varias funciones clave que diferencian aTCP de UDP: 


□ Transferencia de datos libre de errores. 

□ Transferencia de datos ordenada. 

□ Retransmisión de paquetes perdidos. 

□ Descartado de paquetes duplicados. 

□ Ajuste en la congestión de la transmisión de datos. 

Terminación de la 
conexión. 

Esta etapa utiliza un saludo de tres vías, con cada extremo de la conexión terminando 
independientemente. Cuando una de los extremos desea detener su parte de la conexión, 
envía un paquete FIN, que la otra parte confirma con un paquete ACK. Por tanto una 
interrupción de la conexión requiere un par de paquetes FIN y ACK desde cada lado de la 
conexión TCP. 


Una conexión puede quedar abierta a medias cuando uno de los extremos haterminado la 
conexión desde su lado pero el otro extremo no. El extremo que terminó la conexión ya no 
puede enviar datos en la conexión, pero el otro extremo si. 


El método más común sea un saludo de tres etapas donde un anfitrión A envía un paquete FIN 
y el anfitrión B responde con un paquete FIN y un ACK (en el mismo paso) y el anfitrión A 
responde con un paquete ACK. 


TCP realiza las siguientes etapas en su zócalo: 


1. LISTEN 

2. SYN-SENT 

3. SYN-RECEIVED 
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4. ESTABLISHED 

5. FIN-VVAIT-l 

6. FIN-VVAIT-2 

7. CLOSE-VVAIT 

8. CLOSING 

9. LAST-ACK 

10. TIME-VVAIT 

11. CLOSED 

LISTEN representa la conexión en espera de peticiones desde cualquier puerto TCP remoto. SYN-SENT 
representa la espera del TCP remoto para enviar de regreso el paquete TCP estableciendo banderas SYN y 
ACK. SYN-RECIVED representa la espera para el TCP remoto para enviar de regreso la confirmación después 
de haber enviado de regreso otra confirmación de conexión al TCP remoto (establecido por el servidor TCP). 
ESTABLISHED representa que el puerto está listo para recibir/enviar datos desde/hacia el TCP remoto (lo 
hacen tanto clientes como servidores TCP). TIME-VVAIT representa el tiempo de espera necesario para 
asegurar que el TCP remoto ha recibido la confirmación de su solicitud de terminación de la conexión. 

42.3.2.2. UDP. 

UDP, a veces referido sarcásticamente como Unreliable Datagram Protocol (Protcolo no fiable de datagrama), 
es un protocolo de datagrama sin corrección; no provee las garantía de fiabilidad y ordenamiento de TCP a los 
protocolos del Nivel de Aplicación y los datagramas pueden llegar en desorden o perderse sin notificación. 
Como consecuencia de lo anterior es que UDP es un protocolo más rápido y eficiente para tareas ligeras o 
sensibles al tiempo proveiendo una interfaz muy simple entre el Nivel de Red y Nivel de Aplicación. Si se 
requiere algún tipo de fiabilidad para los datos transmitidos, esta debe ser implementada en los niveles 
superiores de la pila. 

Al igual que IP y a diferencia de TCP, es un protocolo de mejor esfuerzo o no-fiable. El único problema de 
fiabilidad que resuelve es la corrección de errores en la cabecera y datos transmitidos a través de un campo de 
16 bits para suma de verificación (checksum), una forma de control de redundancia con la finalidad de 
proteger la integridad de datos verificando que no hayan sido corrompidos. 

La estructura de paquetes UDP consiste de 4 campos. 

• Puerto de origen. Encargado de identificar el puerto que envía y que se asume será el puerto 
hacia donde se envía la respuesta si se necesita. Este campo es opcional: si no se utiliza, el valor 
del campo debe ser 0. 

• Puerto de destino. Identifica el puerto de destino. Es obligatorio. 

• Longitud. Un campo de 16 bits que especifica la longitud del datagrama completo: cabecera y 
datos. La longitud mínima es de 8 bytes ya que es la longitud misma de la cabecera. 

• Suma de verificación. Un campo de 16 bits que se utiliza para verificar errores en cabecera y 
datos. 

Las aplicaciones más comunes que hacen uso de este tipo de protocolo son DNS, aplicaciones de transmisión 
de medios, voz sobre IP (VolP), TFTP y juegos en línea. 

42.3.2.3. SCTP. 

SCTP es un mecanismo de transporte fiable orientado hacia conexión. Está orientado también hacia 
transmisión de datos pero no está orientado hacia bytes como TCP. Provee múltiples transmisiones distribuidos 
sobre una misma conexión. Puede además representar una conexión con múltiples direcciones IP de modo que 
si una IP falla, la conexión no se interrumpe. Se desarrollo inicialmente para aplicaciones de telefonía pero se 
puede utilizar en otras aplicaciones. 

42.3.2.4. DCCP. 
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DCCP se encuentra en fase de desarrollo y bajo la tutela de la IETF (Internet Engineering Task Force) que 
pretende proveer la semántica de control de flujo de TCP y el modelo de servicio de datagrama de UDP a la 
vista del usuario. 

42.3.2.5. RTP. 

RTP es un protocolo de datagrama que fue disenado para datos en tiempo real como la transmisión de audio y 
vídeo. Es un nivel de sesión que utiliza el formato de paquetes de UDP como base. Sin embargo se considera 
que pudiera acomodar debajo del nivel de transporte del modelo TCP/IP. 

42.3.3. Nivel de Red. 

Este nivel resuelve el problema de capturar los datos a través de una red única. IP (Internet Protocol) realiza la 
tarea básica de capturar los paquetes de datos desde una fuente hacia un destino. IP puede transportar datos 
para una gran cantidad de protocolos del nivel superior (Nivel de Transporte). Otro ejemplo de protocolo de este 
nivel es X.25, que es un conjunto de protocolos para redes WAN utilizando líneas telefónicas o sistema ISDN. 

42.3.4. Nivel de Enlace. 

Este nivel no es realmente parte del Conjunto de Protocolos TCP/IP, sino que es el método utilizado para 
pasar paquetes desde el Nivel de Red sobre dos diferentes anfitriones. Este proceso puede ser controlado a 
través deequipamiento lógico utilizado como controlador del dispositivo para una tarjeta de red así como 
también sobre la Programación en firme (Firmvvare) o circuitos integrados auxiliares (chipsets). Estos 
procesos realizarán funciones de enlace de datos tales como anadir una cabecera de paquete para preparar la 
transmisión y entonces transmitir el todo a través de un medio físico. 

Este nivel es donde los paquetes son interceptados y enviados hacia una Red Privada Virtual (VPN). Cuando 
esto se lleva a acabo, los datos del Nivel de Enlace se consideran como los datos de la aplicación y procede 
descendiendo por la pila del modelo TCP/IP para realizar la verdadera transmisión. En el extremo receptor, los 
datos suben por la pila del modelo TCP/IP dos veces, una para la VPN y otra para el encaminamiento (routing). 

42.3.5. Nivel Físico. 

Al igual que el Nivel de Enlace, no es realmente parte del Conjunto de Protocolos TCP/IP. Contempla todas 
las características físicas de la comunicación como la naturaleza del medio, detalles de conectores, código de 
canales y modulación, potencias de seríal, longitudes de onda, sincronización y tiempo de vida y distancias 
máximas. 

42.4. ModeloOSI. 

El Conjunto de Protocolos TCP/IP (y su correspondiente pila) han sido utilizados antes de que se 
estableciera el modelo OSI (Interconexión de Sistemas Abiertos u Open Systems Interconnection) y desde 
entonces el modelo TCP/IP ha sido comparado con el modelo OSI tanto en libros como en instituciones 
educativas. Ambas se relacionan pero no son equiparables. El modelo OSI utiliza siete niveles, mientras que el 
modelo TCP/IP utiliza cinco niveles. Los dos niveles que hacen la diferencia en el Modelo OSI son el Nivel de 
Presentación y el Nivel de Sesión, mismo que podrían ser equivalentes al Nivel de Aplicación del modelo 
TCP/IP. 

Del mismo modo que la pila del modelo TCP/IP, el modelo OSI no es lo suficientemente diverso en los niveles 
inferiores para abarcar las verdaderas capacidades del Conjunto de Protocolos TCP/IP. Un claro ejemplo es 
que falta un nivel intermedio para para acomodar entre el Nivel de Red y el Nivel de Transporte para poder 
determinar donde corresponden los protocolos ICMP e IGMP y otro nivel intermedio entre el Nivel de Red y el 
Nivel de Transporte para determinar donde corresponden los protocolos ARP y RARP. 
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Nivel 

Nombre 

Descripción 

7 

Aplicación 

HTTP, SMTP, SNMP, FTP, Telnet, SIP, SSH, NFS, RTSP, XMPP (Extensible Messaging and 
Presence Protocol), Whois, ENRP Telnet. 

6 

Presentación 

XDR (External Data Representation), ASN.l (Abstract Syntax Notation 1), SMB (Server 
Message Block),AFP (Apple Filing Protocol), NCP (NetWare Core Protocol) 

5 

Sesión 

ASAP (Aggregate Server Access Protocol), TLS, SSH, ISO 8327 / CCITT X.225, RPC 
(Remote Procedure Call), NetBIOS, ASP (Appletalk Session Protocol), Winsock, BSD 
sockets 

4 

Transporte 

TCP, UDP, RTP, SCTP, SPX, ATP, IL 

3 

Red 

IP, ICMP, IGMP, X.25, CLNP, ARP, RARP, BGP, OSPF, RIP, IGRP, EIGRP, IPX, DDP. 

2 

Enlace de 
datos 

Ethernet, Token ring, HDLC, Frame relay, ISDN, ATM, 802.11 WiFi, FDDI, PPP 

1 

Físico 

Define todas las especificaciones físicas y eléctricas de los dispositivos, como son 
disposición de pines, voltajes, especificaciones de cableado, concentradores, repetidores, 
adaptadores de red, etc. 



Cable, Radio, fibra óptica, Red por palomas. 


Los niveles 7 al 4 se clasifican como niveles de anfitrión, mientras que los niveles inferiores del 1 al 3 se 
clasifican como niveles de medios. 
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43.1. Introducción. 

IPv4 es la versión 4 del Protocolo de Internet (IP o Inernet Protocol) y constituye la primera versión de IP que 
es implementada de forma extensiva. IPv4 es el principal protocolo utilizado en el Nivel de Red del Modelo 
TCP/IP para Internet. Fue descrito inicial mente en el RFC 791 elaborado por la Fuerza de Trabajo en 
Ingeniería de Internet (IETF o Internet Engineering Task Force) en Septiembre de 1981, documento que dejó 
obsoleto al RFC 760 de Enero de 1980. 

IPv4 es un protocolo orientado hacia datos que se utiliza para comunicación entre redes a través de 
interrupciones (switches) de paquetes (por ejemplo a través de Ethernet). Tiene las siguientes características: 

• Es un protocolo de un servicio de datagramas no fiable (también referido como de mejor 
esfuerzo). 

• No proporciona garantía en la entrega de datos. 

• No proporciona ni garantías sobre la corrección de los datos. 

• Puede resultar en paquetes duplicado o en desorden. 

Todos los problemas mencionados se resuelven en el nivel superior en el modelo TCP/IP, por ejemplo, a través 

deTCPoUDP. 

El propósito principal de IP es proveer una dirección única a cada sistema para asegurar que una computadora 
en Internet pueda identificar a otra. 

43.2. Direcciones. 

IPv4 utiliza direcciones de 32 bits (4 bytes) que limita el número de direcciones posibles a utilizar a 
4,294,967,295 direcciones únicas. Sin embargo, muchas de estas están reservadas para propósitos especiales 
como redes privadas, Multidifusión (Multicast), etc. Debido a esto se reduce el número de direcciones IP que 
realmente se pueden utilizar, es esto mismo lo que ha impulsado la creación de IPv6 (actualmente en 
desarrollo) como reemplazo eventual dentro de algunos ahos para IPv4. 

43.2.1. Representación de las direcciones. 

Cuando se escribe una dirección IPv4 en cadenas, la notación más común es la decimal con puntos. Flay 
otras notaciones basadas sobre los valores de los octetos de la dirección IP. 

Utilizando como ejemplo: www.alcancelibre.org que tiene como dirección IP 201.161.1.226 en la notación 
decimal con puntos: 
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Notación 

Valor 

Conversión desde decimal con puntos 

Decimal con puntos 

201.161.1.226 

- 

Hexadecimal con 
puntos 

0xC9.0xAl.0x01.0xE2 

Cada octeto de la dirección es convertido 
individualmente a hexadecimal. 

Octal con puntos 

0311.0241.0001.0342 

Cada octeto es convertido individualmente a octal. 

Binario con puntos 

11001001.10100001.00000001.11100010 

Cada octeto es convertido individualmente a 
binario 

Hexadecimal 

0XC9A101E2 

Concatenación de los octetos de hexadecimal con 
puntos. 

Decimal 

3382772194 

La forma hexadecimal convertida a decimal. 

Octal 

31150200742 

La forma hexadecimal convertida a octal. 

Binario 

11001001101000010000000111100010 

La forma hexadecimal convertida a binario. 


Teóricamente , todos estos formatos mencionados deberían ser reconocidos por los navegadores (sin 
combinar). Además, en las formas con puntos, cada octeto puede ser representado en combinación de 
diferentes bases. Ejemplo: 201.0241.0x01.226. 

43.3. Asignación 

Desde 1993 rige el esquema CIDR (Classless Inter-Domain Routing o Encaminamiento Inter-Dominios sin 
Clases) cuya principal ventaja es permitir la subdivisión de redes y permite las entidades sub-asignar 
direcciones IP, como haría un ISP con un cliente. 

El principio fundamental del encaminamiento (routing) es que la dirección codifica información acerca de 
localización de un dispositivo dentro de una red. Esto implica que una dirección asignada a una parte de una 
red no funcionará en otra parte de la red. Existe una estructura jerárquica que se encarga de la asignación de 
direcciones de Internet alrededor del mundo. Esta estructura fue creada para el CIDR y hasta 1998 fue 
supervisada por la IANA (Internet Assigned Numbers Authority o Agencia de Asignación de Números Internet) y 
sus RIR (Regional Internet Registries o Registros Regionales de Internet). Desde el 18 de Septiembre de 1998 
la supervisión está a cargo de la ICANN (Internet Corporation for Assigned Names and Numbers o Corporación 
de Internet para los Nombres y Números Asignados). Cada RIR mantiene una base de datos WHOIS disponible 
al publico y que permite hacer búsquedas que proveen información acerca de las asignaciones de direcciones 
IP. La información obtenida a partir de estas búsquedas juega un papel central en numerosas herramientas las 
cuales se utilizan para localizar direcciones IP geográficamente. 

43.3.1. Bloques reservados. 


Bloques de direcciones reservadas 
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Bloque de direcciones CIDR 

Descripción 

Referencia 

0.0.0.0/8 

Red actual (solo válido como dirección de origen) 

RFC 1700 

10.0.0.0/8 

Red Privada 

RFC 1918 

100.64.0.0/10 

Espacio de direcciones compartidas 

RFC 1918 

127.0.0.0/8 

Anfitrión local (localhost) 

RFC 1700 

169.254.0.0/16 

Red Privada (Zeroconf) 

RFC 3927 

172.16.0.0/12 

Red Privada 

RFC 1918 

192.0.0.0/24 

Asignaciones de protocolo de la IETF 

RFC 6890 

192.0.2.0/24 

Red de pruebas 1 

RFC 3330 

192.88.99.0/24 

Retransmisión desde IPv6 hacia IPv4 

RFC 3068 

192.168.0.0/16 

Red Privada 

RFC 1918 

198.18.0.0/15 

Pruebas de desempeno de red 

RFC 2544 

198.51.100.0/24 

Red de pruebas 2 

RFC 2544 

203.0.113.0/24 

Red de pruebas 3 

RFC 3330 

224.0.0.0/4 

Multidifusión (Multicast, antes red Clase D) 

RFC 3171 

240.0.0.0/4 

Reservado (Antes red Clase E) 

RFC 1700 

255.255.255.255 

Difusiones (Broadcast) 

RFC 919 


43.3.1.1. Redes privadas. 

De los más de cuatro mil millones de direcciones permitidas por IPv4, tres rangos están especialmente 
reservados para utilizarse solamente en redes privadas. Estos rangos no tienen encaminamiento fuera de una 
red privada y las máquinas dentro de estas redes privadas no pueden comunicarse directamente con las redes 
públicas. Pueden, sin embargo, comunicarse hacia redes públicas a través de la Traducción de Direcciones de 
Red o NAT (Network Address Translation). 


Bloques reservados para redes privadas 


Nombre 

Rango de direcciones IP 

Numero de 
direcciones IP 

Tipo de clase 

Bloque CIDR 
mayor 

Bloque de 

24bits 

10.0.0.0-10.255.255.255 

16,777,215 

Única claseA 

10.0.0.0/8 

Bloque de 

20bits 

172.16.0.0- 

172.31.255.255 

1,048,576 

16 clases B 
contiguas 

172.16.0.0/12 

Bloque de 

16bits 

192.168.0.0- 

192.168.255.255 

65,535 

256 clases C 
contiguas 

192.168.0.0/16 


43.3.1.2. Anfitrión local (Localhost) 

Además de las redes privadas, el rango 127.0.0.0 - 127.255.255.255 o 127.0.0.0/8 en la notación CIDR, está 
reservado para la comunicación del anfitrión local (localhost). Ninguna dirección de este rango deberá aparecer 
en una red, sea pública o privada y cualquier paquete enviado hacia cualquier dirección de este rango deberá 
regresar como un paquete entrante hacia la misma máquina. 

43.4. Referencia de sub-redes de IP versión 4. 
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Algunos segmentos del espacio de direcciones de IP, disponibles para la versión 4, se especifican y asignan a 
través de documentos RFC (Request For Comments o Solicitud De Comentarios), que son conjuntos de notas 
técnicas y de organización que se elaboran desde 1969 donde se describen los estándares o recomendaciones 
de Internet, antes ARPANET. Ejemplos de esto son los usos del Retorno del sistema (loopback, RFC 1643), las 
redes privadas (RFC 1918) y Zeroconf (RFC 3927) que no están bajo el control de los RIR (Regional Internet 
Registries o Registros Regionales de Internet). 

La máscara de sub-red es utilizada para separar los bits de un identificados de una red a partir de los bits del 
identificados del anfitrión. Se escribe utilizando el mismo tipo de notación para escribir direcciones IP. 


CIDR 

Máscara de sub- 
red 

Anfitriones 

Nombre de la 
clase 

Uso típico 

/8 

255.0.0.0 

16777216 

Clase A 

Bloque más grande definido por la IANA 

/9 

255.128.0.0 

8388608 



/10 

255.192.0.0 

4194304 



/11 

255.224.0.0 

2097152 



/12 

255.240.0.0 

1048576 



/13 

255.248.0.0 

524288 



/14 

255.252.0.0 

262144 



/15 

255.254.0.0 

131072 



/16 

255.255.0.0 

65536 

Clase B 


/17 

255.255.128.0 

32768 


ISP / negocios grandes 

/18 

255.255.192.0 

16384 


ISP / negocios grandes 

/19 

255.255.224.0 

8192 


ISP / negocios grandes 

/20 

255.255.240.0 

4096 


ISP pequenos / negocios grandes 

/21 

255.255.248.0 

2048 


ISP pequenos / negocios grandes 

/22 

255.255.252.0 

1024 



/23 

255.255.254.0 

512 



/24 

255.255.255.0 

256 

Clase C 

LAN grande 

/25 

255.255.255.128 

128 


LAN grande 

/26 

255.255.255.192 

64 


LAN pequena 

/27 

255.255.255.224 

32 


LAN pequena 

/28 

255.255.255.240 

16 


LAN pequena 

/29 

255.255.255.248 

8 



/30 

255.255.255.252 

4 


Redes de unión (enlaces punto a punto) 

/31 

255.255.255.254 

2 


Red no utilizable, sugerida para enlaces punto a 
punto (RFC 3021) 

/32 

255.255.255.255 

1 


Ruta del anfitrión 


43.5. Referencias. 


• http://www.ietf.org/rfc/rfc760.txt 
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• http://www. 

• http://www. 

• http://www. 

• http://www. 

• http://www. 

• http://www. 

• http://www. 

• http://www. 

• http://www. 

• http://www. 

• http://www. 


ietf.org/rfc/rfc791.txt 

ietf.org/rfc/rfcl643.txt 

ietf.org/rfc/rfcl700.txt 

ietf.org/rfc/rfcl797.txt 

ietf.org/rfc/rfcl918.txt 

i etf. o rg/rf c/rf c2544. txt 

ietf.org/rfc/rfc3021.txt 

ietf.org/rfc/rfc3068.txt 

i etf. o rg/rf c/rf c3171. txt 

ietf.org/rfc/rfc3330.txt 

ietf.org/rfc/rfc3927.txt 
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44. Configuración de red. 

Autor: Joel Barrios Duehas 

Correo electrónico: darkshram en gmail punto com 

Sitio de Red: http://www.alcancelibre.org/ 


Creative Commons Reconocimiento-NoComercial-Compartirlgual 2.1 


© 1999-2016 Joel Barrios Duenas. Usted es libre de copiar, distribuir y comunicar públicamente la obra y hacer obras derivadas bajo las condiciones siguientes: a) 
Debe reconocer y citar al autor original. b) No puede utilizar esta obra para fines comerciales. c) Si altera o transforma esta obra o genera una obra derivada, sólo 
puede distribuir la obra generada bajo una licencia idéntica a ésta. Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. 
Alguna de estas condiciones puede no aplicarse si se obtiene el permiso del titular de los derechos de autor. Los derechos derivados de usos legítimos u otras 
limitaciones no se ven afectados por lo anterior. La información contenida en este documento y los derivados de éste se proporcionan tal cual son y los autores no 
asumirán responsabilidad alguna si el usuario o lector hace mal uso de éstos. 


44.1. Introducción 

Configurar la red en GNU/Linux requiere se entiendan perfectamente los fundamentos de IP versión 4 y saber 
cómo utilizar cualquier editor de texto simple. 

En CentOS y Red Hat™ Enterprise Linux la detección de las tarjetas de red es automática mientras se trate 
de dispositivos soportados. Para consultar la lista de dispositivos compatibles, visite hardware.redhat.com. 

44.2. Procedimientos 

44.2.1. Nombres de los dispositivos. 

Las más recientes versiones de CentOS, Fedora™ y Red Hat™ Enterprise Linux utilizan un nuevo esquema 
para los nombres de los dispositivos de red. Los nombres se basan sobre su ubicación física con la finalidad de 
facilitar su identificación. 

Si utiliza ALDOS, CentOS 6 o Red Hat™ Enterprise Linux 6 los dispositivos de red integrados a la tarjeta madre 
utilizan el esquema em[l,2,3,4...]; los dispositivos PCI utilizan el esquema p[ranura PCI]p[puerto ethernet] y 
—en el caso de dispositivos virtuales— p[ranura PCI]p[puerto ethernet] [interfaz virtual]. Ejemplos: 

• eml corresponde al primer dispositivo de red integrado en la tarjeta madre. 

• em2 corresponde al segundo dispositivo de red integrado en la tarjeta madre. 

• em3 corresponde al tercer dispositivo de red integrado en la tarjeta madre. 

• plpl corresponde al dispositivo de red en la primera ranura PCI, primer puerto ethernet. 

• p2pl corresponde al dispositivo de red en la segunda ranura PCI, primer puerto ethernet. 

• p3pl corresponde al dispositivo de red en la tercera ranura PCI, primer puerto ethernet. 

• p3p2 corresponde al dispositivo de red en la tercera ranura PCI, segundo puerto ethernet. 

• p3p2_l corresponde al dispositivo de red en la tercera ranura PCI, segundo puerto ethernet, 
primer dispositivo virtual. 

Este esquema de nombres sólo aplica para sistemas que implementan SMBIOS versión 2.6 y tablas 9 y 41. 
Puede cotejarse la versión de SMBIOS ejecutando como usuario root lo siguiente: 


biosdecode 


Si utiliza CentOS 7 o Red Hat™ Enterprise Linux 7 los dispositivos de red integrados a la tarjeta madre utilizan 
el esquema eno[l,2,3,4...]; los dispositivos PCI utilizan el esquema enp[ranura PCI]p[puerto ethernet] y —en 
el caso de dispositivos virtuales — eno[ranura PCI]p[puerto ethernet] [interfaz virtual] o enp[ranura 
PCI]p[puerto ethernet]_[interfaz virtual]. Ejemplos: 
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• enol corresponde al primer dispositivo de red integrado en la tarjeta madre. 

• eno2 corresponde al segundo dispositivo de red integrado en la tarjeta madre. 

• eno3 corresponde al tercer dispositivo de red integrado en la tarjeta madre. 

• enplpl corresponde al dispositivo de red en la primera ranura PCI, primer puerto ethernet. 

• enp2pl corresponde al dispositivo de red en la segunda ranura PCI, primer puerto ethernet. 

• enp3pl corresponde al dispositivo de red en la tercera ranura PCI, primer puerto ethernet. 

• enp3p2 corresponde al dispositivo de red en la tercera ranura PCI, segundo puerto ethernet. 

• enp3p2_l corresponde al dispositivo de red en la tercera ranura PCI, segundo puerto ethernet, 
primer dispositivo virtual. 

Independientemente de la versión del sistema operativo pueden determinarse los dispositivos de red presentes 
en ei sistema revisando el contenido del directorio /sys/class/net/: 

ls /sys/class/net/ 

Si utiliza ALDOS, CentOS 6 o Red Hat™ Enterprise Linux 6 puede consultarse y modificarse la asignación de 
nombres de dispositivos de red presentes en el sistema, a través del archivo /etc/udev/rules.d/70-persistent- 
net.rules. 


vi /etc/udev/rules.d/70-persistent-net.rules 

Si utiliza CentOS 7, Fedora™ o Red Hat™ Enterprise Linux 7 puede consultarse la asignación de nombres de 
dispositivos de red presentes en el sistema, a través del archivo /etc/udev/rules.d/99-persistent-net.rules. 

vi /etc/udev/rules.d/99-persistent-net.rules 

Para desactivar esta nueva nomenclatura en CentOS 7, Fedora™ o Red Hat™ Enterprise Linux 7 es necesario 
anadir net.ifnames=0 y biosdevname=0 como argumentos para el núcleo de Linux y reiniciar el sistema. 

Edite el archivo /etc/default/grub: 

vi /etc/default/grub 

Afiada a los argumento de inicio del núcleo las opciones net.ifnames=0 y biosdevname=0. Ejemplo: 
GRUB_TIME0UT=5 

GRUB DISTRIBUTOR="$(sed 's, release .*$,,g' /etc/system-release)" 

GRUB DEFAULT=saved 
GRUB_DISABLE_SUBMENU=true 
GRUB_TERMINAL_OUTPUT="console" 

GRUB_CMDLINE_LINUX="vconsole.font=latarcyrheb-sunl6 crashkernel=auto rhgb quiet 
net.ifnames=0 biosdevname=0" 

GRUB DISABLE RECOVERY="true" 

Ejecute lo siguiente para aplicar el cambio en la configuración de Grub2: 
grub2-mkconfig -o /boot/grub2/grub.cfg 

Para completar el procedimiento deberá cambiar el nombre de los archivos correspondientes a los dispositivos 
de red. Los nombres de los dispositivos pueden variar según la configuración de hardvvare de cada sistema. 
Ejemplo correspondiente a los dispositivos ethernet de una máquina virtual con VirtualBox: 
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mv /etc/sysconfig/network-scripts/{ifcfg-enp0p3,ifcfg-eth0} 
mv /etc/sysconfig/network-scripts/{ifcfg-enp0s8,ifcfg-ethl} 
mv /etc/sysconfig/network-scripts/{ifcfg-enp0s9,ifcfg-eth2} 


Y cambiar cualquier incidencia del nombre del dispositivo por el correspondiente a la nomenclatura tradicional. 
Ejemplo: 


sed -i 's,enp0p3,eth0,g' /etc/sysconfig/network-scripts/ifcfg-eth0 
sed -i 's,enp0p8,ethl,g' /etc/sysconfig/network-scripts/ifcfg-ethl 
sed -i 's,enp0p9,eth2,g' /etc/sysconfig/network-scripts/ifcfg-eth2 


El sistema utilizará la nomenclatura tradicional para dispositivos de red —ethO, ethl, eth2, etc.— después de 
reiniciar el sistema. Ejecute lo siguiente si realizó el procedimiento: 


reboot 


44.2.2. NetworkManager. 

NetworkManager es una implementación que permite a los usuarios regulares controlar y anadir dispositivos 
de red. Resulta perfecto para facilitar la administración de interfaces inalámbricas, conexiones de VPN, 
conexiones PPPoE y cualquier conexión de red desde el escritorio. En un servidor es absurdo permitir ésto ya 
que por lo general la administración del mismo se hace de manera remota a través de una consola de texto a 
través de SSH. La única ventaja que tiene frente al servicio network es que detecta, activa y desactiva 
automáticamente los dispositivos ethernet cuando se conecta y desconecta el cable correspondiente. 


• En CentOS 5 y Red Hat™ Enterprise Linux 5 se incluye NetworkManager como un servicio 
opcional y viene desactivado de modo predeterminado sin importar el tipo de instalación. 

• En CentOS 6 y Red Hat™ Enterprise Linux 6 NetworkManager viene activo de modo 
predeterminado, excepto en la instalación mínima o la instalación básica de servidor. 

• En CentOS 7 y Red Hat™ Enterprise Linux 7, NetworkManager viene activo e instalado de 
modo predeterminado en cualquier tipo de instalación. 


Si se desea impedir que NetworkManager gestione algún dispositivo de red en particular y que éste sea 
gestionado por el servicio network, edite el archivo de configuración correspondiente al dispositivo a utilizar. 
Asumiendo que se trata del dispositivo ethO, ejecute: 


vi /etc/sysconfìg/network-scripts/ifcfg-eth0 


Anada o modifique la variable NM_CONTROLLED y establezca no como valor de éste. Ejemplo: 


DEVICE=eth0 

ONBOOT=yes 

BOOTPROTO=StatÌC 

HWADDR=44:87:FC:AA:DD:2D 

NM_CONTROLLED=no 

IPADDR=192.168.70.101 

NETMASK=255.255.255.128 

GATEWAY=192.168.70.1 

DOMAIN=dominio 

DNS1=8.8.8.8 

DNS2=8.8.4.4 


Lo anterior tomará efecto de inmediato en NetworkManager y detendrá inmediatamente la interfaz. Ejecute lo 
siguiente para iniciar de nuevo la interfaz y gestionarla a través del servicio network: 
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chkconfig network on 
service network restart 


En adelante, mientras esté establecido NM_CONTROLLED=no en la configuración del dispositivo de red, 
NetworkManager ignorará ésta por completo. 

NetworkManager sólo tiene sentido en una computadora portátil que se conecta a múltiples redes inalámbricas 
o bien un sistema escritorio donde se quiere permitir al usuario regular poder controlar los dispositivos de red, 
por tanto en un servidor lo más conveniente es desactivarlo por completo. 

En caso de estar instalado, ejecute lo siguiente para desactivar y detener NetworkManager en ALDOS, 
CentOS 6 y Red Hat™ Enterprise Linux 6: 


chkconfig NetworkManager off 
service NetworkManager stop 


Ejecute lo siguiente ara desactivar y detener NetworkManager en Fedora™ CentOS 7 y Red Hat™ Enterprise 
Linux 7: 


sytemctl disable NetworkManager 
systemctl stop NetworkManager 
chkconfig network on 
service network start 


44.2.3. Asignación de valores de las opciones de red. 

44.2.3.1. Nombre del anfitrión (HOSTNAME). 

Edite el archivo /etc/hosts: 


vi /etc/hosts 


Respete la configuración de la resolución de retorno del sistema. Anada el nombre de anfitrión del sistema y 
asocie éste a alguna de las direcciones IP locales. Ejemplo: 


127.0.0.1 localhost.localdomain localhost 

::1 localhost6.localdomain6 localhost6 

192.168.70.101 nombre.dominio nombre 


El nombre del anfitrión ( hostname ) debe ser un FQDN (acrónimo de Fully Qualified Domain Name o Nombre 
de Dominio Plenamente Calificado) resuelto por un servidor de nombres de domino (DNS). 

Si utiliza Fedora™, CentOS 7 y Red Hat™ Enterprise Linux 7 puede configurar el nombre de anfitrión éste 
editando el archivo /etc/hostname: 


vi /etc/hostname 


El cambio tome efecto de inmediato. También puede ejecutar lo siguiente utilizando herramientas de SystemD: 


hostnamectl set-hostname nombre.dominio 
systemctl restart systemd-hostnamed 


Y ejecute lo siguiente para verificar lo anterior: 
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hostnamectl status 


La salida debe ser similar a la siguiente: 


Static hostname: 

nombre.dominio 

Icon name: 

computer-server 

Chassis: 

server 

Machine ID: 

ccb49477c25645f9a87bc96aaa48b669 

Boot ID: 

ef6bfc94a04c483ea70e431e72afff2a 

Operating System: 

CentOS Linux 7 (Core) 

CPE OS Name: 

cpe:/o:centos:centos:7 

Kernel: 

Linux 3.10.0-229.11.1.el7.X86_64 

Architecture: 

X86_64 


Si utiliza ALDOS, CentOS 6 y Red Hat™ Enterprise Linux 6 puede configurar el nombre de anfitrión editando el 
archivo /etc/sysconfig/network: 


vi /etc/sysconfig/network 


Cambie el valor de la variable HOSTNAME por el nombre de anfitrión que corresponda. Tome en cuenta que el 
nombre de anfitrión deberá estar resuelto cuando menos en el archivo /etc/hosts y —si es posible— también 
en un servidor DNS. 


NETWORKING=yes 

HOSTNAME=nombre.dominio 


A partir de CentOS 6 y Red Hat™ Enterprise Linux 6, la variable HOSTNAME puede ser establecida en el 
archivo de configuración de cualquier dispositivo de red del sistema (por ejemplo /etc/sysconfig/network- 
scripts/ifcfg-ethO), en lugar del archivo /etc/sysconfig/network. 


Asumiendo que se utilizará el dispositivo ethO, edite el archivo /etc/sysconfig/network-scripts/ifcfg-ethO: 


vi /etc/sysconfig/network-scripts/ifcfg-eth0 


Ejemplo: 


DEVICE=eth0 
ONBOOT=yes 
BOOTPROTO=StatÌC 
NM_CONTROLLED=no 
IPADDR=192.168.70.101 
NETMASK=255.255.255.128 
GATEWAY=192.168.70.1 
HOSTNAME=nombre.dominio 


Para aplicar los cambios, ejecute lo siguiente: 


service network restart 


44.2.3.2. Dirección IP, máscara de sub-red y puerta de enlace. 

Las variables a asignar son BOOTPROTO con el valor static —dirección IP estática— o bien dhcp —dirección 
IP asignada por un servidor DHCP— , IPADDR definiendo colo valor de ésta la dirección IP, NETMASK 
definiendo como valor de ésta la máscara de sub-red en formato octal y GATEWAY definiendo como valor la 
puerta de enlace correspondiente. 
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Asumiendo que se utilizará el dispositivo ethO, edite el archivo /etc/sysconfig/network-scripts/ifcfg-ethO: 


vi /etc/sysconfíg/network-scripts/ifcfg-eth0 


Ejemplo: 


DEVICE=eth0 

ONBOOT=yes 

BOOTPROTO=StatÌC 

NM_CONTROLLED=no 

IPADDR=192.168.70.101 
l\IETMASK=255.255.255.128 
GATEWAY=192.168.70.1 


En lugar de la variable NETMASK con un valor octal, puede utilizar la variable PREFIX con la máscara de sub- 
red en formato CIDR. 


DEVICE=ethO 

0NB00T=yes 

B00TPR0T0=StatÌC 

NM_C0NTR0LLED=no 

IPADDR=192.168.70.101 

PREFIX=25 

GATEWAY=192.168.70.1 


Los valores de las variables anteriores son proporcionados por el administrador de la red local en donde se 
localice el sistema que esté siendo configurado o bien definidos de acuerdo a una planificación previamente 
establecida. El administrador de la red deberá proporcionar una dirección IP disponible (IPADDR) y una 
máscara de la sub-red (NETMASK o PREFIX). 


Para aplicar los cambios, ejecute lo siguiente: 


service network restart 


44.2.3.3. Servidores de nombres. 

Hay dos variables a configurar: dominio de búsqueda predeterminado y al menos un servidor de nombres. En 
CentOS 6 y Red Hat™ Enterprise Linux 6, se pueden establecer anadiendo al archivo de configuración de 
cualquier dispositivo de red, las variables DOMAIN, DNSl, DNS2 y DNS3. 

Asumiendo que se utilizará el dispositivo ethO, edite el archivo /etc/sysconfig/network-scripts/ifcfg-ethO: 


vi /etc/sysconfig/network-scripts/ifcfg-ethO 


Ejemplo: 


DEVICE=ethO 

0NB00T=yes 

B00TPR0T0=StatÌC 

NM_C0NTR0LLED=no 

IPADDR=192.168.70.101 

PREFIX=25 

GATEWAY=192.168.70.1 

DOMAIN=dominio 
DNS1=8.8.8.8 
DNS2=8.8.4.4 
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Para aplicar los cambios, ejecute lo siguiente: 
service network restart 

Lo anterior actualizará automáticamente el archivo /etc/resolv.conf con el contenido que corresponda. 

En CentOS 5 y Red Hat™ Enterprise Linux 5 (y versiones anteriores de éstos), edite al archivo 

/etc/resolv.conf: 

vi /etc/resolv.conf 

Establezca o confirme los servidores del sistema de resolución de nombres de dominio (DNS). Ejemplo: 

search dominio 
nameserver 8.8.8.8 
nameserver 8.8.4.4 

Si se modifica directamente el archivo /etc/resolv.conf los cambios aplican de manera inmediata, sin necesidad 
de reiniciar el servicio network. 

44.2.4. Rutas estáticos. 

Las rutas estáticas se pueden aíïadir ejecutando ip, utilizando la siguiente sintaxis: 

ip route add [red]/[máscara] via [puerta-de-enlace] dev [dispositivo] 

En el siguiente ejemplo se definirá la ruta estática hacia la red 192.168.3.0 con máscara de 25 bit 
(255.255.255.128), puerta de enlace a través de la dirección IP 172.16.1.36 y a través del dispositivo de red 

ethl: 


ip route add 192.168.3.0/25 via 172.16.1.36 dev ethl 


Es un requisito que la puerta de enlace de destino sea alcanzable desde el dispositivo utilizado. Será imposible 
establecer una ruta estática si es imposible alcanzar la puerta de enlace necesaria. Si sólo se ejecuta ip y se 
reinicia el servicio network, los cambios se perderán. 

Si se requiere establecer las rutas estáticas adicionales para obtener conectividad con otras redes y que las 
configuraciones correspondientes sean permanentes, se pueden generar archivos para cada dispositivo de red 
que sea necesario, en donde se establecen los valores para puerta de enlace, red a la que se quiere acceder y 
la máscara de sub-red correspondiente. Los archivos se deben generar dentro del directorio 
/etc/sysconfig/network-scripts/ como route-[dispositivo] y deben llevar el siguiente formato: 


GATEWAY0=nnn.nnn.nnn.nnn 
ADDRESS0=nnn.nnn.nnn.nnn 
NETMASK0=nnn.nnn.nnn.nnn 


En lugar de la variable NETMASK, se puede utilizar la variable PREFIX, definiendo la máscara en formato 
CIDR. Ejemplo: 


GATEWAY0=nnn.nnn.nnn.nnn 
ADDRESS0=nnn.nnn.nnn.nnn 
PREFIX0=nn 
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Por citar un ejemplo, imaginemos que nos encontramos dentro de la red 192.168.70.0/25 y se requiere 
establecer conectividad con las redes 172.16.2.0 y 172.16.3.0, con máscaras 255.255.255.240 (28 bit), a través 
de las puertas de enlace o enrutadores o encaminadores con direccines IP 192.168.1.2 y 192.168.1.3, 
correspondientemente para cada red citada, através del primer dispositivo Ethernet del anfitrión local (ethO). 


Genere el archivo /etc/sysconfig/network-scripts/route-ethO utilizando un editor de texto: 


vi /etc/sysconfíg/network-scripts/route-eth0 


La configuración para el escenario descrito arriba, sería la siguiente: 


GATEWAY0 

=192. 

.168.1.2 

ADDRESS0 

=172. 

.16.2.0 

PREFIX0= 

28 


GATEWAY1 

=192. 

.168.1.3 

ADDRESSl 

=172. 

.16.3.0 

PREFIX1= 

28 



Para aplicar los cambios y poder hacer las comprobaciones correspondientes, ejecute lo siguiente: 


service network restart 


44.2.5. Función de Reenvío de paquetes para IP versión 4. 

Si dispone de al menos 2 dispositivos de red y se tiene planeado implementar un NAT o DNAT, se debe habilitar 
el reenvío de paquetes para IP versión 4. Esto se realiza editando el archivo /etc/sysctl.conf y estableciendo 1 
para activar o bien dejar 0 para mantener inactivo: 


vi /etc/sysctl.conf 


Anada net.ipv4.ip_forward = 1 si utiliza CentOS 7 o Red Hat™ Enterprise 7 o versiones posteriores de éstos. 
Cambie net.ipv4.ip forward = 0 por net.ipv4.ip_forward = 1 si utiliza CentOS 6 o Red Hat™ Enterprise 6 o 

versiones anteriores de éstos: 


net.ipv4.ip_forward = 1 

Ejecutar lo siguiente para aplicar el cambio sin reiniciar el sistema: 
sysctl -w net.ipv4.ip_forward=l 

44.2.6. Herramientas para el intérprete de mandatos. 

Después de haber configurado todos los valores de las variables de red deseadas, reinicie el servicio network, 
ejecutando lo siguiente: 

service network restart 

Ejecute ping hacia cualquier dirección de la red local para tal fin para comprobar la conectividad. 

ping -c3 192.168.70.1 
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La opción -c3 indica que sólo se harán 3 pings hacia la dirección IP de destino. 

Para ver la información de todos los dispositivos de red del sistema, se ejecuta lo siguiente: 
ip addr show 

En el pasado lo anterior se hacía utilizando ifconfig. 

Para ver la información de un dispositivo de red específico, ethO en el siguiente ejemplo, se ejecuta lo siguiente: 
ip addr show ethQ 

En el pasado lo anterior se hacía ejecutando ifconfig ethO. 

Para ver la información de estado de todos los dispositivos de red del sistema, se ejecuta lo siguiente: 
ip link show 

Para ver la información de estado de de un dispositivos de red en particular, ethO en el siguiente ejemplo, se 
ejecuta lo siguiente: 

ip link show ethQ 

Para detener un dispositivo de red, ethO en el ejemplo, se ejecuta lo siguiente: 
ip link set eth0 down 

En el pasado lo anterior se hacía ejecutando ifdovvn ethO. 

Para iniciar un dispositivo de red, ethO en el ejemplo, se ejecuta lo siguiente: 
ip link set eth0 up 

En el pasado lo anterior se hacía ejecutando ifup ethO. 

Para eliminar todos los valores de las variables de red de un dispositivo específico, ethO en el ejemplo, se 
ejecuta lo siguiente. 

ip addr flush dev eth0 

Para ahadir una dirección IP a un dispositivo, ethO en el siguiente ejemplo, se ejecuta lo siguiente. 

ip addr add 192.168.70.61/25 dev eth0 

Para eliminar una dirección IP a un dispositivo, ethO en el siguiente ejemplo, se ejecuta lo siguiente. 

ip addr del 192.168.70.61/25 dev eth0 

Ejecute lo siguiente para ver las rutas estáticas: 
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ip route list 

En el pasado lo anterior se hacía ejecutando route. 

Para eliminar todas las rutas estáticas dependientes sólo del dispositivo ethO, se ejecuta lo siguiente: 
ip route flush dev ethQ 

Para cambiar o establecer la puertas de enlace predeterminada del sistema, 192.168.70.1 en el siguiente 
ejemplo, através del dispositivo ethO, se ejecuta lo siguiente: 

ip route add default via 192.168.70.1 dev eth0 

Haga una consulta hacia los servidores DNS definidos para el sistema Para comprobar si hay resolución de 
nombres: 


host mx.yahoo.com 


44.2.7. Direcciones IP secundarias. 

Las direcciones IP secundarias sirven para que el sistema responda para más de una dirección IP a través del 
mismo dispositivo de red. Son útiles en los casos en los cuales se tiene un servicio de hospedaje de páginas de 
Internet y se desea que cada sitio tenga su propia dirección IP. También son útiles en los muros cortafuegos 
donde se quiere que un conjunto de equipos salgan hacia Internet enmascarados con una dirección IP (una 
LAN, por ejemplo) y otro conjunto de equipos lo hagan con una dirección IP distinta (una DMZ, por ejemplo). 


El primer paso es modificar los valores de las variables IPADDR y NETMASK de la dirección IP principal, 
precediendo a éstos el número cero: 


IPADDR0=192.168.70.101 
NETMASK0=255.255.255.128 


Anada la dirección IP secundaria y la máscara de sub-red en la variables IPADDRl y NETMASK1 (o bien 
PREFIXl si prefiere el formato CIDR) del siguiente modo: 


IPADDR0=192.168.70.101 
NETMASK0=255.255.255.128 

IPADDR1=192.168.70.31 
NETMASK1=255.255.255.128 


Para agregar otra dirección IP secundaria, se ahade otro conjunto de variables IPADDR y NETMASK, 
precedidos con el siguiente número consecutivo: 


IPADDR0=192. 

168. 

70 

.101 

NETMASK0=255 

.255 

.255.128 

IPADDR1=192. 

168. 

70 

.31 

NETMASK1=255 

.255 

.255.128 

IPADDR2=192. 

168. 

70 

.41 

NETMASK2=255 

.255 

.255.128 


Puede utilizar PREFIX en lugar de NETMASK, definiendo la máscara de sub-red en formato CIDR. 
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IPADDR0=192.168.70.101 

PREFIX0=25 

IPADDR1=192.168.70.31 

PREFIX1=25 

IPADDR2=192.168.70.41 

PREFIX2=25 


Para aplicar los cambios y poder hacer las comprobaciones correspondientes, ejecute lo siguiente: 


service network restart 


La comprobación, tras ejecutar ip addr show, deberá regresar algo como lo siguiente 


1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN 
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 
inet 127.0.0.1/8 scope host lo 
inet6 ::1/128 scope host 

valid_lft forever preferred_lft forever 

2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000 
link/ether 00:23:5a:4b:e8:43 brd ff:ff:ff:ff:ff:ff 
inet 192.168.70.101/25 brd 192.168.70.127 scope global eth0 
inet 192.168.70.31/25 scope global secondary eth0 
inet 192.168.70.41/25 scope global secondary eth0 
inet6 fe80::223:5aff:fe4b:e843/64 scope link 
valid_lft forever preferred_lft forever 


44.2.8. Soporte para Zeroconf. 

De modo predeterminado y a fin de permitir la comunicación entre dos diferentes sistemas a través de un cable 
RJ45 cruzado ( crossover ), el sistema tiene habilitado Zeroconf, también conocido como Zero Configuration 
Networking o Automatic Private IP Addressing (APIPA). Es un conjunto de técnicas que automáticamente 
gestionan la asignación de direcciones IP sin necesidad de configuración de servidores especiales. Permite a 
usuarios sin conocimientos de redes conectar computadoras, impresoras en red y otros artículos entre sí. 

Sin Zeroconf los usuarios sin conocimientos tendrían que configurar servidores especiales como DHCP y DNS 
para poder establecer conectividad entre dos equipos. 

Estando habilitado Zeroconf, se mostrará un registro en la tabla de rutas estáticas para la red 169.254.0.0 al 
ejecutar ip route list: 


ip route list 


Lo anterior devolverá una salida similar a la siguiente: 


192.168.70.0/25 dev eth0 proto kernel scope link src 192.168.70.101 

169.254.0.0/16 dev eth0 scope link metric 1002 

default via 192.168.70.1 dev eth0 


Si se desea desactivar Zeroconf, edite el archivo /etc/sysconfig/network: 


vi /etc/sysconfig/network 


Anada la variable NOZEROCONF con el valor yes: 
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NETWORKING=yes 
HOSTNAME=nombre.dominio 

NOZEROCONF=yes 


Al terminar, reinicie el servicio network, a fin de que surtan efecto los cambios: 

service network restart 
Para comprobar, ejecute de nuevo ip route list: 
ip route list 

Lo anterior deberá devolver una salida similar a la siguiente, en la cual la ruta para Zeroconf ha desaparecido: 

192.168.70.0/25 dev etho proto kernel scope link src 192.168.70.101 
default via 192.168.70.1 dev eth0 


Una vez hecho lo anterior, existen dos servicios en el sistema en CentOS y Red Hat™ Enterprise Linux 5 y 
versiones posteriores, que se pueden desactivar puesto que sirven para establecer la comunicación a través de 
Zeroconf, estos son avahi-daemon y avahi-dnsconfd. Desactivar estos dos servicios ahorrará tiempo en el 
arranque y se consumirán alaunos pocos menos recursos de sistema. 


chkconfig avahi-dnsconfd off 
chkconfig avahi-daemon off 
service avahi-dnsconfd stop 
service avahi-daemon stop 


Muchas aplicaciones y componentes para el modo gráfico dependen de Zeroconf para su correcto 
funcionamiento. Por tanto, es poco conveniente desactivar este soporte en un sistema de escritorio. 

Para más detalles acerca de Zeroconf, puede consultarla información disponible en: 

• http://www.zeroconf.org/ 

• http://en.wikipedia.org/wiki/Zeroconf 

Por favor continúe con el documento de ejercicios de este tema. 

44.3. Ejercicios. 

Este documento corresponde a los ejercicios del documento titulado «Configuración de red». 

44.3.1. Rutas estáticas. 

Este ejercicio considera lo siguiente: 

1. Se tiene dos equipos de cómputo con GNU/Linux instalado en ambos. 

2. pcl.dominio.tld tiene una dirección IP 192.168.70.100 con máscara de sub-red de 25 bits 
(255.255.255.128) en el dispositivo ethO. Una dirección IP 172.16.100.1 con máscara de sub-red 
de 28 bits (255.255.255.240) en el dispositivo ethl. 

3. pc2.dominio.tld tiene una dirección IP 192.168.70.102 con máscara de sub-red dde 25 bits 
(255.255.255.128) en el dispositivo ethO. Carece de otros dispositivos de red activos. 
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Visualice desde pc2.dominio los registros de la tabla de rutas estáticas. 

ip route list 

Lo anterior devolverá una salida similar a la siguiente: 

192.168.70.0/25 dev eth0 proto kernel scope link src 192.168.70.2 metric 1 
default via 192.168.70.1 dev eth0 proto static 

Intente ejecutar ping hacia la dirección recién anadida en pcl.dominio. 

ping -c 3 172.16.100.1 


El resultado esperado es que ping devuelva que hay 100% de pérdida de paquetes. 


PING 172.16.100.1 (172.16.100.1) 56(84) bytes of data. 

— 172.16.100.1 ping statistics — 

3 packets transmitted, 0 received, 100% packet loss, time 1999ms 


Proceda a ahadir la ruta estática que corresponde especificando la red, mascará de sub-red y puerta de enlace 
necesarios para llegar hacia 172.16.100.1. 


ip route add \ 
172.16.100.0/28 \ 
via 192.168.70.100 \ 
dev eth0 


Visualice de nuevo los registros de la tabla de rutas estáticas. 


ip route list 


Lo anterior devolverá una salida similar a la siguiente: 


172.16.100.0/28 via 192.168.70.100 dev eth0 

192.168.70.0/25 dev eth0 proto kernel scope link src 192.168.70.2 metric 1 
default via 192.168.70.1 dev eth0 proto static 


Intente ejecutar ping hacia la dirección recién anadida en pcl.dominio. 


ping -c 3 172.16.100.1 


El resultado esperado es que ping responda al ping, obteniéndose una salida similar a la siguiente: 


PING 172.16.100.1 (172.16.100.1) 56(84) bytes of data. 

64 bytes from 172.16.100.1: icmp_seq=0 ttl=64 time=0.453 ms 

64 bytes from 172.16.100.1: icmp_seq=l ttl=64 time=0.368 ms 

64 bytes from 172.16.100.1: icmp_seq=2 ttl=64 time=0.347 ms 

— 172.16.100.1 ping statistics — 

3 packets transmitted, 3 received, 0% packet loss, time 1999ms 
rtt min/avg/max/mdev = 0.347/0.389/0.453/0.048 ms, pipe 2 
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Reinicie el servicio de red, visualice de nuevo los registros de la tabla de rutas estáticas y compruebe que ya no 
hay respuesta al hacer ping hacia 172.16.100.1 porque el registro en la tabla de rutas estáticas fue eliminado al 
reiniciar el servicio de red. 


service network restart 

ip route list 

ping -c 3 172.16.100.1 


Para hacer permanente el registro en la tabla de rutas estáticas utilice un editor de texto el archivo 
/etc/sysconfig/network-scripts/route-ethO y ponga el siguiente contenido: 


ADDRESS0=172.16.100.0 
NETMASK0=255.255.255.240 
GATEWAY0=192.168.70.100 


Al terminar reinicie el servicio de red. 


service network restart 


Visualice nuevamente los registros de la tabla de rutas estáticas. 


ip route list 


Lo anterior debe devolver una salida similar a la siguiente: 


172.16.100.0/28 via 192.168.70.100 dev eth0 

192.168.70.0/25 dev eth0 proto kernel scope link src 192.168.70.2 metric 1 
default via 192.168.70.1 dev eth0 proto static 


Intente ejecutar ping hacia la dirección recién anadida en pcl.dominio. 


ping -c 3 172.16.100.1 


Reinicie el servicio de red, visualice de nuevo los registros de la tabla de rutas estáticas y compruebe de nuevo 
que hay respuesta al hacer ping hacia 172.16.100.1. 


service network restart 
route -n 

ping -c3 172.16.100.1 


44.3.2. Ejercicio: Direcciones IP secundarias. 

Este ejercicio considera lo siguiente: 

1. El dispositivo ethO tiene una dirección IP 192.168.70.101/25. Carece de direcciones IP 
secundarias. 

2. Se ahadirá como dirección IP secundaria 192.168.70.51/25. 

Visualice las interfaces de red activas en el sistema. 


ip addr show 
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Lo anterior debe devolver una salida similar a la siguiente, donde se mostrará que sólo están activos el 
dispositivo ethO y el correspondiente al dispositivo del retorno del sistema ( !oopback)\ 


1: lo: <LOOPBACK, UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN 
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 
inet 127.0.0.1/8 scope host lo 
inet6 ::1/128 scope host 

valid_lft forever preferred_lft forever 

2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000 
link/ether 00:23:5a:4b:e8:43 brd ff:ff:ff:ff:ff:ff 
inet 192.168.70.101/25 brd 192.168.70.127 scope global eth0 
inet6 fe80::223:5aff:fe4b:e843/64 scope link 
valid_lft forever preferred_lft forever 


Ejecute ping con la opción -c3 para comprobar si acaso hay alguna respuesta de la dirección IP secundaria del 
dispositivo ethO. 


ping -C3 192.168.70.51 


Lo anterior debe devolver una salida similar a la siguiente: 


PING 192.168.70.51 (192.168.70.51) 56(84) bytes of data. 

— 192.168.70.51 ping statistics — 

3 packets transmitted, 0 received, 100% packet loss, time 1999ms 


Ejecute ip del siguiente modo para anadir la dirección IP secundaria 192.168.70.51/25 al dispositivo ethO: 


ip addr add 192.168.70.51/25 dev eth0 


Ejecute ping con la opción -c3 para comprobar que haya respuesta de la dirección IP secundaria del dispositivo 

ethO. 


ping -C3 192.168.70.51 


Lo anterior debe devolver una salida similar a la siguiente: 


PING 192.168.70.51 (192.168.70.51) 56(84) bytes of data. 

64 bytes from 192.168.70.51: icmp_seq=0 ttl=64 time=0.453 ms 

64 bytes from 192.168.70.51: icmp_seq=l ttl=64 time=0.368 ms 

64 bytes from 192.168.70.51: icmp_seq=2 ttl=64 time=0.347 ms 

— 192.168.70.51 ping statistics — 

3 packets transmitted, 3 received, 0% packet loss, time 1999ms 
rtt min/avg/max/mdev = 0.347/0.389/0.453/0.048 ms, pipe 2 


Visualice las interfaces de red activas en el sistema. 


ip addr show 

Lo anterior debe devolver una salida similar a la siguiente, donde se mostrará que está activa la dirección IP 
secundaria del dispositivo ethO: 
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1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN 
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 
inet 127.0.0.1/8 scope host lo 
inet6 ::1/128 scope host 

valid_lft forever preferred_lft forever 

2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000 
link/ether 00:23:5a:4b:e8:43 brd ff:ff:ff:ff:ff:ff 
inet 192.168.70.101/25 brd 192.168.70.127 scope global eth0 
inet 192.168.70.51/25 scope global secondary eth0 
inet6 fe80::223:5aff:fe4b:e843/64 scope link 
valid_lft forever preferred_lft forever 


Reinicie el servicio network. 


service network restart 

Ejecute ping con la opción -c3 para comprobar si aún hay respuesta desde la dirección IP secundaria del 
dispositivo ethO. 

ping -C3 192.168.70.51 

Lo anterior debe devolver una salida similar a la siguiente: 

PING 192.168.70.51 (192.168.70.51) 56(84) bytes of data. 

— 192.168.70.51 ping statistics — 

3 packets transmitted, 0 received, 100% packet loss, time 1999ms 

Visualice los dispositivos de red activos en el sistema. 

ip addr show 


Lo anterior debe devolver una salida similar a la siguiente, donde se mostrará sólo la dirección IP principal del 
dispositivo de red ethO y la correspondiente al dispositivo del retorno del sistema ( loopback)\ 


1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN 
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 
inet 127.0.0.1/8 scope host lo 
inet6 ::1/128 scope host 

valid_lft forever preferred_lft forever 

2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000 
link/ether 00:23:5a:4b:e8:43 brd ff:ff:ff:ff:ff:ff 
inet 192.168.70.2/25 brd 192.168.70.127 scope global eth0 
inet6 fe80::223:5aff:fe4b:e843/64 scope link 
valid_lft forever preferred_lft forever 


Para hacer permanente la dirección secundaria en el dispositivo ethO, edite el archivo /etc/sysconfig/network- 
scripts/ifcfg-ethO y ahada el siguiente contenido (jRespete mayúsculas y minúsculas!): 


IPADDR1=192.168.70.51 
NETMASK1=255.255.255.128 


Reinicie el servicio de red. 


service network restart 


Visualice las interfaces de red activas en el sistema. 
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ip addr show 


Lo anterior debe devolver una salida similar a la siguiente, donde nuevamente se mostrará que está activa la 
dirección IP secundaria del dispositivo ethO: 


1: lo: <LOOPBACK, UP,LOWER„UP> mtu 16436 qdisc noqueue state UNKNOWN 
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 
inet 127.0.0.1/8 scope host lo 
inet6 ::1/128 scope host 

valid_lft forever preferred_lft forever 

2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000 
link/ether 00:23:5a:4b:e8:43 brd ff:ff:ff:ff:ff:ff 
inet 192.168.70.101/25 brd 192.168.70.127 scope global eth0 
inet 192.168.70.51/25 scope global secondary eth0 
inet6 fe80::223:5aff:fe4b:e843/64 scope link 
valid_lft forever preferred_lft forever 


Ejecute ping con la opción -c3 para comprobar que haya respuesta de la dirección IP secundaria del dispositivo 

ethO: 


ping -C3 192.168.70.51 


Lo anterior debe devolver una salida similar a la siguiente: 


PING 192.168.70.51 (192.168.70.51) 56(84) bytes of data. 

64 bytes from 192.168.70.51: icmp_seq=0 ttl=64 time=0.453 ms 

64 bytes from 192.168.70.51: icmp_seq=l ttl=64 time=0.368 ms 

64 bytes from 192.168.70.51: icmp_seq=2 ttl=64 time=0.347 ms 

— 192.168.70.51 ping statistics — 

3 packets transmitted, 3 received, 0% packet loss, time 1999ms 
rtt min/avg/max/mdev = 0.347/0.389/0.453/0.048 ms, pipe 2 


La dirección IP secundaria del dispositivo ethO estará activa la siguiente vez que inicie el sistema operativo. 
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45.1. Introducción. 

De acuerdo a Wikipedia, «una VLAN (acrónimo de Virtual LAN o Red de Área Local Virtual) es un método para 
crear redes lógicamente independientes dentro de una misma red física. Varias VLANs pueden coexistir en un 
único conmutador físico o en una única red física. Son útiles para reducir ei tamano del dominio de difusión y 
ayudan en la administración de la red, separando segmentos lógicos de una red de área local, impidiendo que 
puedan intercambiar datos usando la red local.» 

Su implementación requiere de disponer de conmutadores (svvitches) con capacidad para VLAN (protocolo 
802.lq), los cuales deberán estar previamente configurados para gestionar algunas VLANs (y saber cómo 
hacerlo) y entender perfectamente IP versión 4. 

45.2. Equipamiento lógico necesario. 

45.2.1. En CentOS, Fedora™ y Red Hat™ Enterprise Linux. 

El soporte necesario para configurar VLANs se incluye junto con el paquete iproute, el cual se incluye en la 
instalación predeterminada, pues se trata de un paquete obligatorio e indispensable para el sistema. De manera 
alternativa puede gestionar también las VLANS a través del paquete vconfig, ejecutando lo siguiente: 


yum -y install vconfig 


45.3. Procedimientos. 

Editar el archivo /etc/sysconfig/network: 

vim /etc/sysconfig/network 

Anadir el siguiente parámetro para activar el soporte para VLAN, mismo que permitirá que posteriormente 
cargue automáticamente el módulo 8021q del núcleo de Linux: 

VLAN=yes 

Asumiendo que se utiliza la interfaz ethl para acceder a la red local, editar el archivo de configuración: 
vim /etc/sysconfig/network-scripts/ifcfg-ethl 


420 






Joel Barrios Duenas 


Configuración de Servidores con GNU/Linux 


Quitar todos los parámetros de red que se hayan establecido y dejar el contenido como el del siguiente ejemplo, 
en el cual se asume que la dirección MAC del dispositivo de red corresponde a 44:87:FC:AA:DD:2D: 


DEVICE=ethl 

TYPE=Ethernet 

BOOTPROTO=none 

ONBOOT=yes 

HWADDR=44 :87: FC : AA : DD : 2D 
NM_CONTROLED=no 


Reiniciar el servicio de red a fin de que aplique el cambio y para que cargue de manera automática el módulo 
8021q del núcleo de Linux. 


service network restart 


Pueden crearse manera temporal (se perderán luego de reiniciar el sistema) los dispositivos de VLAN del 
siguiente modo: 


ip link add link DISPOSITIVO name DISPOSITIVO.ID-VLAN type vlan id ID-VLAN 
ip addr add IP/CIDR brd BROADCAST dev DISPOSITIVO.ID-VLAN 
ip link set dev DISPOSITIVO.ID-VLAN up 


Ejemplo: 


ip 

link 

add 

link ethl name 

ethl.2 type vlan 

id 2 


ip 

addr 

add 

172.16.0.65/26 

brd 172.16.0.127 

dev ethl.2 

ip 

link 

set 

dev ethl.2 up 




ip 

link 

add 

link ethl name 

ethl.3 type vlan 

id 3 


ip 

addr 

add 

172.16.0.129/26 

brd 172.16.0.191 

. dev 

ethl.3 

ip 

link 

set 

dev ethl.3 up 




ip 

link 

add 

link ethl name 

ethl.4 type vlan 

id 4 


ip 

addr 

add 

172.16.0.193/26 

brd 172.16.0.255 

í dev 

ethl.4 

ip 

link 

set 

dev ethl.4 up 





De manera alternativa, puede hacer lo mismo utilizando los mandatos vconfig y el mandato ifconfig, del 
siguiente modo: 


vconfig add ethl 2 
vconfig add ethl 3 
vconfig add ethl 4 

ifconfig ethl.2 172.16.0.65 netmask 255.255.255.192 
ifconfig ethl.3 172.16.0.129 netmask 255.255.255.192 
ifconfig ethl.4 172.16.0.193 netmask 255.255.255.192 


En caso de que sea necesario, para eliminar los dispositivos de VLAN, puede ejecutar el mandato IP con la 
siguiente sintaxis: 


ip link set dev DISPOSITIVO.ID-VLAN down 
ip link delete DISPOSITIVO.ID-VLAN 


Ejemplo: 
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ip link set dev ethl.2 down 
ip link delete ethl.2 

ip link set dev ethl.3 down 
ip link delete ethl.3 

ip link set dev ethl.4 down 
ip link delete ethl.4 


De manera alternativa, puede utilizar también el mandato vconfig con la opción rem, seguido del nombre del 
dispositivo VLAN. Siguiendo el ejemplo utilizado en este documento, sólo habría que ejecutar lo siguiente: 


vconfig rem ethl.2 
vconfig rem ethl.3 
vconfig rem ethl.4 


Para que los dispositivos de VLANs sean permanentes, es necesario crear, dentro del directorio 
/etc/sysconfig/network-scripts, los archivos de configuración de interfaz, siguiendo el siguiente formato: 


icfg- DISPOSITIVO.ID-VLAN 


El número de VLAN, preferentemente debe corresponder son el mimos utilizado en el conmutador principal. Se 
debe evitar usar la VLAN 1 (ethl.l o ethl.l), 172.16.0.1 como IP para el servidor, así como también evitar 
utilizar la red 172.16.0.0/26, porque suelen corresponder al número de VLAN, dirección IP y segmento de red 
que regularmente utilizan los conmutadores. 

Ejemplo de contenido de /etc/sysconfig/network-scripts/ifcfg-ethl.2. 


DEVICE=ethl. 2 

TYPE=Ethernet 

B00TPR0T0=StatÌC 

0NB00T=yes 

NM_C0NTR0LED=no 

IPADDR=172.16.0.65 

PREFIX=26 

BROADCAST =172.16.0.127 
NETW0RK=172.16.0.64 


Ejemplo de contenido de /etc/sysconfig/network-scripts/ifcfg-ethl.3 


DEVICE=ethl. 3 

TYPE=Ethernet 

B00TPR0T0=StatÌC 

0NB00T=yes 

NM_C0NTR0LED=no 

IPADDR=172.16.0.129 

PREFIX=26 

BROADCAST =172.16.0.191 
NETW0RK=172.16.0.128 


Ejemplo de contenido de /etc/sysconfig/network-scripts/ifcfg-ethl.4 
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DEVICE=ethl .4 

TYPE=Ethernet 

BOOTPROTO=StatÌC 

ONBOOT=yes 

NM_CONTROLED=no 

IPADDR=172. 16.0.193 

PREFIX=26 

BROADCAST =172.16.0.255 
NETW0RK=172 .16.0.192 


Reiniciar nuevamente el servicio de red a fin de que inicien las interfaces de VLAN. 


service network restart 


Se puede verificar con el mandato ip que todas las VLAN estén presentes. 


ip addr show 


Lo anterior debe devolver una salida similar a la siguiente: 


1: lo: <LOOPBACK, UP, LOWER_UP> mtu 16436 qdisc noqueue state UIMKNOWN 
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 
inet 127.0.0.1/8 brd 127.255.255.255 scope host lo 
inet 127.0.0.2/8 brd 127.255.255.255 scope host secondary lo 
inet6 ::1/128 scope host 

valid_lft forever preferred_lft forever 

2: ethl: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000 
link/ether 44:87:FC:AA:DD:2D brd ff:ff:ff:ff:ff:ff 

3: ethl.2@ethl: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP 
link/ether 44:87:FC:AA:DD:2D brd ff:ff:ff:ff:ff:ff 
inet 172.16.0.65/26 brd 172.16.0.127 scope global ethl.2 
inet6 fe80::a00:27ff:fece:5172/64 scope link 
valid_lft forever preferred_lft forever 

4: ethl.3@ethl: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP 
link/ether 44:87:FC:AA:DD:2D brd ff:ff:ff:ff:ff:ff 
inet 172.16.0.129/26 brd 172.16.0.191 scope global ethl.3 
inet6 fe80::a00:27ff:fece:5172/64 scope link 
valid_lft forever preferred_lft forever 

5: ethl.4@ethl: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP 
link/ether 44:87:FC:AA:DD:2D brd ff:ff:ff:ff:ff:ff 
inet 172.16.0.193/26 brd 172.16.0.255 scope global ethl.4 
inet6 fe80::a00:27ff:fece:5172/64 scope link 
valid_lft forever preferred_lft forever 


De manera alternativa, se puede verificar con el mandato ifconfig que todas las VLAN estén presentes. 

ifconfig 


La salida debe ser algo similar a lo siguiente: 
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ethl Link encap:Ethernet HWaddr 44:87:FC:AA:DD:2D 

inet6 addr: fe80::226:b9ff:fe38:36bc/64 Scope:Link 
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:! 

RX packets:13512148 errors:0 dropped:0 overruns:0 frame:0 
TX packets:15358606 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:1000 

RX bytes:4445028488 (4.1 GiB) TX bytes:12134964357 (11.3 GiB) 
Interrupt:122 Memory:da000000-da012800 

ethl.2 Link encap:Ethernet HWaddr 44:87:FC:AA:DD:2D 

inet addr:172.16.0.65 Bcast: 172.16.0.127 Mask: 255.255.255.192 
inet6 addr: fe80::4687:fcff:feaa:dd2d/64 Scope:Link 
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:! 

RX packets:0 errors:0 dropped:0 overruns:0 frame:0 
TX packets:18 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:0 

RX bytes:0 (0.0 b) TX bytes:4333 (4.2 KiB) 

ethl.3 Link encap:Ethernet HWaddr 44:87:FC:AA:DD:2D 

inet addr: 172.16.0.129 Bcast:172.16.0.191 Mask: 255.255.255.192 

inet6 addr: fe80::4687:fcff:feaa:dd2d/64 Scope:Link 
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:! 

RX packets:0 errors:0 dropped:0 overruns:0 frame:0 
TX packets:16 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:0 

RX bytes:0 (0.0 b) TX bytes:4235 (4.1 KiB) 

ethl.4 Link encap:Ethernet HWaddr 44:87:FC:AA:DD:2D 

inet addr: 172.16.0.193 Bcast:172.16.0.255 Mask: 255.255.255.192 

inet6 addr: fe80::4687:fcff:feaa:dd2d/64 Scope:Link 
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:! 

RX packets:0 errors:0 dropped:0 overruns:0 frame:0 
TX packets:13 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:0 

RX bytes:0 (0.0 b) TX bytes:3405 (3.3 KiB) 

lo Link encap:Local Loopback 

inet addr:127.0.0.1 Mask:255.0.0.0 
inet6 addr: ::1/128 Scope:Host 
UP LOOPBACK RUNNING MTU:16436 Metric:! 

RX packets:183 errors:0 dropped:0 overruns:0 frame:0 
TX packets:183 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:0 

RX bytes:21398 (20.8 KiB) TX bytes:21398 (20.8 KiB) 


45.3.1. Administrando direcciones IP de las VLANs a través de un servidor DHCP. 

Para alivio de los administradores de sistemas, es posible utilizar el servicio de DHCP para gestionar la 
administración de direcciones IP a través de un servidor DHCP. 

Editar el archivo /etc/sysconfig/dhcpd y definir las interfaces de VLAN a utilizar junto con el servidor DHCP. 

DHCPDARGS="ethl.2 ethl.3 ethl.4"; 


Editar el archivo /etc/dhcpd.conf (CentOS 5 y Red Hat Enterprise Linux 5) o bien /etc/dhcp/dhcpd.conf 
(CentOS 6 y Red Hat Enterprise Linux 6), definir una sección por cada red: 
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ddns-update-style interim; 

ignore client-updates; 

authoritative; 

default-lease-time 900; 

max-lease-time 7200; 

option ip-forwarding off; 

option domain-name "red-local.net"; 

option ntp-servers 200.23.51.205, 132.248.81.29, 148.234.7.30; 


shared-network 

subnet 


} 


} 


shared-network 

subnet 


} 


} 


shared-network 

subnet 


} 


} 


vlan2 { 

172.16.0.64 netmask 255.255.255.192 { 
option routers 172.16.0.65; 
option subnet-mask 255.255.255.192; 
option broadcast-address 172.16.0.127; 
option domain-name-servers 172.16.0.65; 
option netbios-name-servers 172.16.0.65; 
range 172.16.0.66 172.16.0.126; 


vlan3 { 

172.16.0.128 netmask 255.255.255.192 { 
option routers 172.16.0.129; 
option subnet-mask 255.255.255.192; 
option broadcast-address 172.16.0.191; 
option domain-name-servers 172.16.0.192; 
option netbios-name-servers 172.16.0.192; 
range 172.16.0.130 172.16.0.190; 


vlan4 { 

172.16.0.192 netmask 255.255.255.192 { 
option routers 172.16.0.193; 
option subnet-mask 255.255.255.192; 
option broadcast-address 172.16.0.255; 
option domain-name-servers 172.16.0.193; 
option netbios-name-servers 172.16.0.193; 
range 172.16.0.194 172.16.0.254; 


Reiniciar (o iniciar, según sea el caso) el servicio dhcpd y comprobar que funcione correctamente el servicio, 
conectando algunos equipos a los conmutadores involucrados. 

service dhcpd restart 
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46.1. Introducción. 

El controlador bonding, originalmente creado por Donald Becker, está incluido en prácticamente todas las 
distribuciones de GNU/Linux y permite sumar las capacidades de varias interfaces físicas de red con objeto de 
crear una interfaz lógica. Esto se lleva a cabo con el objeto de contar con redundancia o bien balanceo de 
carga. 

46.2. Procedimientos. 

46.2.1. Archivo de configuración. 

En CentOS 5 y Red Hat Enterprise Linux 5 se debe editar el archivo /etc/modprobe.conf: 

vi /etc/modprobe.conf 


En ALDOS 1.4, CentOS 6 y Red Hat Enterprise Linux 6 se debe crear un archivo que puede denominarse 
arbitrariamente como /etc/modprobe.d/bonding.conf: 

vi /etc/modprobe.d/bonding.conf 


En cualquiera de los dos casos mencionados, se debe anadirse lo siguiente para asociar el controlador 
bonding a la interfaz bondO del siguiente modo: 

alias bonding bondQ 


El controlador puede llevar además opciones que permiten modificar su funcionamiento, de entre los cuales los 
más importantes son mode y miimon. A fin de obtener un buen funcionamiento, es importante configurar al 
menos estas dos opciones. 

Para fines generales, se puede puede utilizar lo siguiente: 

alias bondQ bonding 

options bonding mode=0 miimon=0 


El valor de la opción mode establece la política de balanceo de carga y tolerancia a fallos y el valor de la opción 
miimon establece al tipo de supervisión de Mll, donde 0 corresponde la configuración más común. 
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Al terminar con el archivo /etc/modprobe.conf, es importante utilizar el mandato depmod con la opción -a 
para regenerar el archivo modules.dep, el cual es utilizado como el mapa de dependencias de los 
controladores utilizados por el núcleo del sistema. 

depmod -a 


Lo anterior solo debe devolver el símbolo de sistemas después de unos segundos. 

46.2.1.1. Opción mode. 

Se utiliza para establecer la política baja la cual se hará trabajar las tarjetas en conjunto. Los posibles valores 
son: 

0 (cero): Establece una política de Round-Robin, que es un algoritmo que asigna una carga equitativa y 
ordenada a cada proceso, para proporcionar tolerancia a fallos y balanceo de carga entre los miembros del 
arreglo de dispositivos. Todas las transmisiones de datos son enviadas y recibidas de forma secuencial en cada 
interfaz esclava del arreglo empezando con la primera que esté disponible. Es la política predetermînada del 
controlador y la que funciona para la mayoría de los casos. 

1 (uno): Establece una política de respaldo activo que proporciona tolerancia a fallos. Todo el tráfico se 
transmite a través de una tarjeta y solo se utilizará la otra en caso de que falle la primera. 

2 (dos): Establece una política XOR ( exclusive-or , exclusiva-o) para proporcionar tolerancia a fallos y 
balanceo de carga. Este algoritmo compara las solicitudes entrantes de las direcciones MAC hasta que 
coinciden para la dirección MAC (Media Access Control) de una de las tarjetas esclavas. Una vez que se 
establece el enlace, las transmisiones de datos de datos son enviadas en forma secuencial empezando con la 
primera interfaz disponible. 

3 (tres): Establece una política de Round-Robin, para proporcionar tolerancia a fallos y balanceo de carga. 
Todas las transmisiones de datos son enviadas de forma secuencial en cada interfaz esclava del arreglo 
empezando con la primera que esté disponible. 

En el siguiente ejemplo se establece la política 0 (cero): 

options bonding mode=0 


46.2.1.2. Opción miimon. 

Se utiliza para especificar cada cuantos milisegundos se debe supervisar el enlace Mll (Media Independent 
Interface). Se utiliza cuando se necesita alta disponibilidad para verificar si la interfaz está activa y verificar si 
hay un cable de red conectado. En el siguiente ejemplo se establecen 100 milisegundos: 

options bonding mode=0 miimon=100 


Se requiere que todos los controladores del arreglo de tarjetas tengan soporte para Mll. Para verificar si el 
controlador de la tarjeta tiene soporte para Mll, se utiliza el mandato ethtool, donde la salida debe devolver 
Link Detected con el valor yes. Ejemplo: 

ethtool eth0 


Lo anterior debe devolver algo similar a lo siguiente: 
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Settings for eth0: 

Supported ports: [ TP MII ] 

Supported link modes: 10baseT/Half 10baseT/Full 

100baseT/Half 100baseT/Full 
Supports auto-negotiation: Yes 

Advertised link modes: 10baseT/Half 10baseT/Full 

100baseT/Half 100baseT/Full 
Advertised auto-negotiation: Yes 
Speed: 100Mb/s 
Duplex: Half 
Port: MII 
PHYAD: 32 

Transceiver: internal 
Auto-negotiation: on 
Supports Wake-on: pumbg 
Wake-on: d 

Current message level: 0x00000007 (7) 

Link detected: yes 


Para desactivar esta función, se utiliza el valor 0 (cero). Ejemplo: 

options bonding mode=0 miimon=0 


46.2.2. Archivo de configuración /etc/sysconfig/network-scripts/bondO. 

Este se configura con las mismas variables de un dispositivo de red regular. Requiere las variables ONBOOT, 
BOOTPROTO, DEVICE, IPADDR, PREFIX (o bien NETMASK en CentOS 5 y Red Hat™ Enterprise Linux 5) y 

GATEWAY. 

En el siguiente ejemplo se configura la interfaz bondO con la dirección IP estática 192.168.0.1, máscara de 
subred de 24 bits (255.255.255.0), puerta de enlace 192.168.0.254 y la interfaz inicia junto con el sistema 
creando el archivo /etc/sysconfig/network-scripts/ifcfg-bondO con el siguiente contenido: 


DEVICE=bond0 
0NB00T=yes 
B00TPR0T0=StatÌC 
IPADDR=192-168.0.1 
PREFIX=24 

GATEWAY=192.168.0.254 


Las interfaces de red a utilizar como esclavas se configuran de la siguiente forma, considerando que se tiene 
ethO y ethl, el contenido del archivo /etc/sysconfig/network-scripts/ifcfg-ethO sería: 


DEVICE=eth0 

B00TPR0T0=none 

0NB00T=no 

SLAVE=yes 

MASTER=bond0 


Y el contenido del archivo /etc/sysconfig/network-scripts/ifcfg-ethl sería: 


DEVICE=ethl 

B00TPR0T0=none 

0NB00T=no 

SLAVE=yes 

MASTER=bond0 


46.2.3. Iniciar, detener y reiniciar el servicio network. 

Para ejecutar por primera vez el servicio network tras configurar el acoplamiento de tarjetas, utilice: 
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service network start 

Para hacer que los cambios hechos tras modificar la configuración surtan efecto, utilice: 

service network restart 


Para detener el servicio network utilice: 

service network stop 


46.3. Comprobaciones. 

Para verificar que la interfaz lógica quedó configurada, en el caso de haber utilizado las interfaces ethO y ethl, 
utilice: 


ip addr list 


Lo anterior debe devolver algo similar a lo siguiente: 


1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue 

link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 
inet 127.0.0.1/8 scope host lo 
inet6 ::1/128 scope host 

valid_lft forever preferred_lft forever 

2: ethl: <BROADCAST,MULTICAST,SLAVE,UP,L0WER_UP> mtu 1500 qdisc pfifo_fast master bond0 qlen 1000 
link/ether 00:06:4f:80:0d:92 brd ff:ff:ff:ff:ff:ff 
3: eth0: <BROADCAST,MULTICAST,SLAVE,UP,L0WER_UP> mtu 1500 qdisc pfifo_fast master bondO qlen 1000 
link/ether 00:06:4f:80:0d:92 brd ff:ff:ff:ff:ff:ff 
4: sit0: <N0ARP> mtu 1480 qdisc noop 
link/sit 0.0.0.0 brd 0.0.0.0 

5: bondO: <BROADCAST,MULTICAST,MASTER,UP,L0WER_UP> mtu 1500 qdisc noqueue 
link/ether 00:06:4f:80:0d:92 brd ff:ff:ff:ff:ff:ff 
inet 192.168.0.1/24 brd 192.168.1.255 scope global bondO 
inet6 fe80::206:4fff:fe80:d92/64 scope link tentative 
valid_lft forever preferred_lft forever 


Para verificar que las interfaces de red están funcionando correctamente y que hay un cable de red conectado a 
éstas, se utiliza el mandato ethtool del siguiente modo: 


ethtool ethQ |grep "Link detected" 
ethtool ethl jgrep "Link detected" 


Si ambas tarjetas tiene soporte para Mll, lo anterior debe devolver lo siguiente: 


Link detected: yes 
Link detected: yes 
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47.1. Introducción. 

Configurar y conectarse a una red Wifi desde la interfaz gráfica es un procedimiento relativamente trivial, 
dejando que todos los procedimientos los realicen NetworkManager o Connman. Sin embargo ha circunstancias 
en las cuales puede ser necesario conectarse a una red Wifi desde una terminal. A continuación describiré los 
procedimientos para conectarse a los dos tipos de redes Wifi más utilizados, WEP y WPA, con configuraciones 
básicas utilizadas en dispositivos como serían los puntos de acceso de los modem ADSL de Prodigy Infinitum. 

47.1.1. tQue es WPA? ôPor qué debería usarlo en lugar de WEP? 

WPA (Wi-Fi Protected Access) y WPA2 es una clase de sistemas para el aseguramiento de redes inalámbricas. 
WPA fue creado en respuesta a las serias debilidades de otros protocolos como WEP (Wired Equivalent 
Privacy). Implementa la mayoría de lo que conforma el estándar IEEE 802. lli y fue disenado para funcionar 
con todas los dispositivos para redes inalámbricas, excepto los puntos de acceso de primera generación. WPA2 
implementa todo el estándar IEEE 802. lli, pero no funciona con muchos dispositivos viejos. 

WPA fue creado por el grupo industrial y comercial Alianza Wi-Fi, duenos de la marca registrada Wi-Fi y 
certificadores de los dispositivos que ostenten dicho nombre. 

Los datos utilizan el algoritmo RC4 con una clave de 128 bits y un vector de inicialización de 48 bits. Una de las 
mejoras más sobresalientes sobre su predecesor, WEP, es TKIP (Temporal Key Integrity Protocol o Protocolo 
de integridad de clave temporal), el cual consiste en el cambio dinámico mientras se utiliza el sistema. Cuando 
se combina con Vectores de Inicialización mayores, hace considerablemente más difícil realizar ataques para 
la obtención de llaves, como ocurre con WEP. 

Además de proporcionar autenticación y ciframiento, WPA proporciona mejor integridad de la carga útil. La 
verificación de redundancia cíclica (CRC o Cyclic Redundancy Check) utilizada en WEP es insegura porque 
permite alterar la carga útil y actualizar el mensaje de verificación de redundancia cíclica sin necesidad de 
conocer la clave WEP. En cambio WPA utiliza un Código de Integridad de Mensaje (MIC o Message Integrity 
Code) que es en realidad un algoritmo denominado «Michael», que fue el más fuerte que se pudo utilizar con 
dispositivos antiguos para redes inalámbricas a fin de no dejar obsoletos a éstos. El Código de Integridad de 
Mensaje de WPA incluye un un mecanismo que contrarresta los intentos de ataque para vulnerar TKIP y 
bloques temporales. 

En resumen, WPA hace más difícil vulnerar las redes inalámbricas al incrementar los tamanos de las claves y 
Vectores de Inicialización, reduciendo el número de paquetes enviados con claves relacionadas y ahadiendo 
un sistema de verificación de mensajes. 
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Además de poder utilizar una clave compartida (PSK o Pre-Shared Key), lo cual suple la complejidad de 
implementación de un servidor de autenticación 802.IX en hogares y oficinas pequenas, WPA puede utilizar 
Protocolos Extensibles de Autenticación (EAP o (Extensible Authentication Protocol), como los siguientes: 

• EAP-TLS 

• EAP-TTLS/MSCHAPV2 

• PEAPvO/EAP-MSCHAPv2 

• PEAPvl/EAP-GTC 

• EAP-SIM 

• EAP-LEAP 

Entre los diversos servidores que pueden utilizarse para este tipo de implementaciones, está FreeRADIUS. 
Alcance Libre cuenta con un modesto documento para la configuración de esta implementación. 

47.2. Equipamiento lógico necesario. 

47.2.1. Instalación a través de yum. 

Se requieren los paquetes wireless-tools y wpa_supplicant. Para instalar o actualizar el equipamiento lógico 
necesario en CentOS, Fedora o Red Hat™ Enterprise Linux y versiones posteriores de éstos, sólo se 
necesita ejecutar como root lo siguiente: 


yum -y install wireless-tools wpa_supplicant 


Si utiliza openSUSE o SUSE Linux Enterprise, sólo se necesita ejecutar lo siguiente para instalar o actualizar 
el equipamiento lógico necesario, en caso de que éste estuviese ausente: 


yast -i wireless-tools wpa_supplicant 


Si utiliza Debian o Ubuntu y versiones posteriores, sólo se necesita ejecutar lo siguiente para instalar o 
actualizar el equipamiento lógico necesario, en caso de que éste estuviese ausente: 


sudo apt-get install wireless-tools wpa_supplicant 


47.2.2. Preparativos. 

En sistemas operativos basados sobre CentOS, Fedora, Red Hat Enterprise Linux, openSUSE y SUSE 
Linux Enterprise, el primer paso consiste en cambiarse al usuario root: 


su -1 


Utilice sudo paratodos los procedimientos en sistemas operativos basados sobre Ubuntu. Ejemplos: 


sudo ifup lo 

sudo iwconfig wlan0 

sudo iwlist wlan0 scan 
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Debido a que seguramente el servicio NetworkManager hará conflicto con los procedimientos, se debe detener 
éste: 


service NetworkMananger stop 

Muchos componentes del sistema requieren que esté activa la interfaz de retorno del sistema (loopback), por lo 
que es importante iniciar ésta: 

ifup lo 


Ejecute iwconfig con el nombre de la interfaz como argumento para comenzar a utilizar la interfaz Wifi. 
Ejemplo: 


iwconfig wlan0 


Es buena idea realizar un escaneado de las redes Wifi disponibles para asegurarse se puede acceder a la red 
Wifi deseada y para determinar el protocolo a utilizar: 


iwlist wlan0 scan 


47.2.3. Autenticando en el punto de acceso. 

47.2.3.1. Através de redes WEP. 

Para redes inalámbricas con autenticación a través de cifrado WEP, que se caracterizan por tener una 
seguridad muy pobre, el procedimiento es simple. Ejecute lo siguiente para definir el nombre del punto de 
acceso a utilizar: 


iwconfig wlan0 essid punto-de-acceso 

Ejecute lo siguiente para definir la contrasena a utilizar —puede ser de 64 o 128 bits. 
iwconfig wlan0 key contrasena 

Si se utiliza una clave WEP tipo ASCII, se define de la siguiente manera: 
iwconfig wlan0 key s:contrasena 

47.2.3.2. Através de redes WPA. 

Se procede a determinar el nombre de la red Wifi a utilizar y la contraseha. Ejecute wpa_passphrase con el 
nombre del punto de acceso y la contrasena cambiando la salida estándar para generar al archivo 
/root/wpa.conf: 

wpa_passphrase punto-de-acceso contrasena > /root/wpa.conf 

Si se realiza el procedimiento desde Ubuntu, lo anterior fallará debido a limitaciones de seguridad de sudo. En 
su lugar ejecute lo siguiente: 

sudo bash -c "wpa_passphrase punto-de-acceso contrasena > /root/wpa.conf" 
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Ejecute wpa_supplicant con las opciones -B, para enviar el procesos a segundo plano -D, para especificar el 
controlador a utilizar y -c para especificar el archivo de configuración creado en el paso anterior e iniciar la 
autenticación hacia la red Wifi. 


wpa_supplicant -B -Dwext -iwlan0 -c/root/wpa.conf 


47.2.4. Configuración de valores de la interfaz de red. 

47.2.4.1. Utilizando dhclient. 

Lo más común es utilizar dhclient para dejar que el servidor DHCP del punto de acceso o la LAN se encargue 
de asignar los valores de red para la interfaz. Es buena idea indicar a dhclient que libere el préstamo que 
estuviera asignado en el servidor DHCP: 


dhclient -r 


Ejecute dhclient con el nombre de la interfaz WiFi como argumento para obtener una nueva dirección IP. 
Ejemplo: 


dhclient wlan0 


47.2.4.2. Asignación manual de los valores de la interfaz de red. 

Si se conocen los datos para la configuración de red, también es posible asignarlos manualmente. En el 
siguiente ejemplo, se asigna a la interfaz wlanO la dirección IP 192.168.70.50, con máscara de subred 
255.255.255.128 (25 bit) y puerta de enlace 192.168.70.1: 

ip addr add 192.168.70.50/25 dev wlan0 
ip route add default via 192.168.70.1 dev wlan0 

Edite el archivo /etc/resolv.conf y anada o modifique nameserver con la dirección IP del servidor DNS a 
utilizar como argumento. En el siguiente ejemplo se define 192.168.70.1 como servidor DNS: 

echo "nameserver 192.168.70.1" > /etc/resolv.conf 

Si se realiza el procedimiento desde Ubuntu, lo anterior fallará debido a limitaciones de seguridad de sudo. En 
su lugar ejecute lo siguiente: 

sudo bash -c "echo 'nameserver 192.168.70.1' > /etc/resolv.conf" 


47.2.4.3. Asignación permanente de valores de de la interfaz de red en CentOS, Fedora y Red 
Hat Enterprise Linux. 

Solo es necesario crear el archivo de interfaz, dentro de /etc/sysconfig/network-scripts/ siguiendo el siguiente 
formato: 


ifcfg-Auto_punto-de-acceso 


Como ejemplo, si se desea conectar el sistema a un punto de acceso denominado alcance2, se debe crear el 
archivo /etc/sysconfig/network-scripts/ifcfg-Auto alcance2: 
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vim /etc/sysconfig/network-scripts/ifcfg-Auto_alcance2 


Si se va a conectar a través de DHCP y utilizar cifrado WEP, poner el siguiente contenido: 


NAME="Auto alcance2" 

ONBOOT=yes 

TYPE=Wireless 

BOOTPROTO=dhcp 

ESSID=alcance2 

MODE=Managed 

SECURITY_MODE=open 

DEFAULTKEY=1 

PEERDNS=yes 

PEERROUTES=yes 

DHCP_CLIENT„ID=nombre-equipo 

DHCP„HOSTNAME=nombre-equipo 


Si se va a conectar a través de DHCP y utilizar cifrado WPA, poner el siguiente contenido: 


NAME="Auto alcance2" 

ONBOOT=yes 

TYPE=Wireless 

BOOTPROTO=dhcp 

ESSID=alcance2 

MODE=Managed 

KEY„MGMT=WPA-PSK 

PEERDNS=yes 

PEERROUTES=yes 

DHCP_CLIENT_ID=nombre-equipo 

DHCP_HOSTNAME=nombre-equipo 


Para la contrasena del punto de acceso, es necesario crear el archivo /etc/sysconfig/network-scripts/keys- 
Auto alcance2: 


vim /etc/sysconfig/network-scripts/keys-Auto_alcance2 


Si se va a conectar por WEP, poner el siguiente contenido: 


KEY_PASSPHRASEl=contrasena 


Si se va a conectar por WPA, poner el siguiente contenido: 

WPA„PSK=clave-de-acceso 
Ejecute lo siguiente para iniciar la interfaz: 
ip link set wlan0 up 

Ejecute lo siguiente sólo si necesita detener la interfaz. 

ip link set wlan0 down 
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48.1. Introducción. 

48.1.1. Acerca de Netcat. 

Netcat o nc es una herramienta utilizada para supervisar y escribir sobre conexiones tanto TCP como UDP. 
Puede abrir conexiones TCP, enviar paquetes UDP, escuchar peticiones sobre puertos arbitrarios tanto TCP 
como UDP, permite supervisar puertos abiertos y otras muchas cosas más, tanto para IPv4 como IPv6. Es una 
de las herramientas de diagnóstico y seguridad más populares y también una de las más valoradas por la 
comunidad de usuarios de GNU/Linux. 

48.2. Equipamiento lógico necesario. 

48.2.1. En CentOS, Fedora™ y Red Hat™ Enterprise Linux. 

Ejecute lo siguiente para instalar Netcat: 


yum -y install nc 


48.2.2. En openSUSE™ y SUSE™ Linux Enterprise. 

Ejecute lo siguiente para instalar Netcat: 


yast -i netcat 


48.3. Procedimientos en CentOS, Fedora™ y Red Hat™ Enterprise Linux. 

El manual completo de nc puede consultarse ejecutando lo siguiente: 

man 1 nc 

48.3.1. Conexiones simples. 

Ejecute nc seguido de una dirección IP y un puerto al cual conectarse para iniciar una conexión hacia algún 
puerto en algún sistema. En el siguiente ejemplo se realizará una conexión hacia el puerto 25 (SMTP) de 
127.0.0.1: 


nc 127.0.0.1 25 
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Si hay un servidor de correo funcionado, lo anterior puede devolver una salida similar a la siguiente, donde 
requerirá escribir quit y pulsar la tecla ENTER para cerrar la conexión: 


220 localhost.localdomain ESMTP ; Wed, 28 May 2008 10:24:52 -0500 

quit 

221 2.0.0 localhost.localdomain closing connection 


48.3.2. Revisión de puertos. 

Ejecute nc con la opción -z para solicitar se intente de escuchar por puertos abiertos y un puerto o rango de 
puertos. En el siguiente ejemplo se utiliza nc para revisar cuáles puertos TCP (modo predeterminado) están 
abiertos dentro del rango que va del puerto 21 al puerto 25. 

nc - VZ 127.0.0.1 21-25 


Lo anterior puede devolver una salida similar a la siguiente, si se encontrasen abiertos los puertos 21, 22 y 25. 


Connection to 127.0.0.1 21 port [tcp/ftp] succeeded! 
Connection to 127.0.0.1 22 port [tcp/ssh] succeeded! 
Connection to 127.0.0.1 25 port [tcp/smtp] succeeded! 


De manera opcional, se pueden revisar si están abiertos los puertos UDP abiertos ahadiendo la opción -u. En el 
siguiente ejemplo se ejecuta nc para revisar cuáles puertos UDP se encuentran abiertos entre el rango 
comprendido entre los puertos 21 al 80. 


nc -zu 127.0.0.1 21-80 


Lo anterior puede devolver una salida similar a la siguiente, donde se asume que se encuentran abiertos los 
puertos UDP 53, 67 y 68: 


Connection 

to 

127.0.0.1 

53 

port 

[udp/domain] 

succeeded! 

Connection 

to 

127.0.0.1 

67 

port 

[udp/bootps] 

succeeded! 

Connection 

to 

127.0.0.1 

68 

port 

[udp/bootpc] 

succeeded! 


Si se quiere obtener una salida más descriptiva, sólo es necesario ejecutar nc con las opciones -vz y la 
dirección IP si se quiere revisar puertos TCP abiertos o bien nc -vzu para puertos UDP abiertos, donde la 
opción -v define se devuelva una salida más descriptiva. En el siguiente ejemplo se ejecuta nc para revisar los 
puertos TCP abiertos entre el puerto 20 al 25. 


nc -VZ 127.0.0.1 20-25 


La salida de lo anterior también devolverá, a diferencia de utilizar sólo la opción -z, cuáles puertos están 
cerrados en el rango especificado. 


nc: connect to 127.0.0.1 port 20 (tcp) failed: Connection refused 
Connection to 127.0.0.1 21 port [tcp/ftp] succeeded! 

Connection to 127.0.0.1 22 port [tcp/ssh] succeeded! 
nc: connect to 127.0.0.1 port 23 (tcp) failed: Connection refused 
nc: connect to 127.0.0.1 port 24 (tcp) failed: Connection refused 
Connection to 127.0.0.1 25 port [tcp/smtp] succeeded! 


48.3.3. Creando un modelo cliente servidor. 
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Es relativamente simple crear un modelo cliente/servidor. Desde una terminal que será utilizada para iniciar un 
modelo de servidor, ejecute nc con la opción -I (listen o escuchar) seguida de un número de puerto que esté 
desocupado. Esto hará que nc se comporte como servidor escuchando peticiones en un puerto arbitrario. En el 
siguiente ejemplo se hará que nc funcione como servidor escuchando peticiones en el puerto 22222. 


nc -1 22222 


Para establecer la conexión como cliente, desde otra terminal ejecute nc especificando como argumentos una 
dirección IP y el numero de puerto al que se quiera conectar. En el siguiente ejemplo se realiza la conexión al 
puerto 22222 de 127.0.0.1 (anfitrión local): 


nc 127.0.0.1 22222 


Con lo anterior, todo lo que se escriba desde la terminal como cliente podrá ser visto en la terminal como 
servidor. 

48.3.4. Transferencia de datos. 

Tomando el ejemplo anterior, es posible realizar transferencia de datos desde una terminal como cliente hacia 
una terminal como servidor. La única diferencia es que en el servidor se cambia el direccionamiento de la salida 
estándar (STDOUT) de la terminal, hacia un archivo, como se ejemplifica a continuación: 


nc -1 22222 > algo.out 


En el cliente se realiza algo similar. En lugar de ingresar datos desde la conexión. Se hace a partir de un archivo 
con contenido de la siguiente forma: 


nc 127.0.0.1 22222 < algo.in 


En el ejemplo descrito se realiza la transferencia de datos del archivo algo.in, desde el proceso como cliente, 
hacia el archivo algo.out, en el proceso como servidor. 

48.4. Procedimientos en openSUSE™ y SUSE™ Linux Enterprise. 

El manual completo de netcat puede consultarse ejecutando lo siguiente: 
man 1 netcat 


48.4.1. Conexiones simples. 

Ejecute netcat seguido de una dirección IP y un puerto al cual conectarse para iniciar una conexión hacia algún 
puerto en algún sistema. En el siguiente ejemplo se realizará una conexión hacia el puerto 25 (SMTP) de 
127.0.0.1: 


netcat 127.0.0.1 25 


Si hay un servidor de correo funcionado, lo anterior puede devolver una salida similar a la siguiente, donde 
requerirá escribir quit y pulsar la tecla ENTER para cerrar la conexión: 
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220 localhost.localdomain ESMTP ; Wed, 28 May 2008 10:24:52 -0500 

quit 

221 2.0.0 localhost.localdomain closing connection 


48.4.2. Revisión de puertos. 

Ejecute netcat con la opción -z para solicitar se trate de escuchar por puertos abiertos y un puerto o rango de 
puertos. En el siguiente ejemplo se utiliza netcat para revisar cuáles puertos TCP (modo predeterminado) están 
abiertos dentro del rango que va del puerto 21 al puerto 25. 


netcat -vz 127.0.0.1 21-25 


Lo anterior puede devolver una salida similar a la siguiente, si se encontrasen abiertos los puertos 21, 22 y 25. 


Connection to 127.0.0.1 21 port [tcp/ftp] succeeded! 
Connection to 127.0.0.1 22 port [tcp/ssh] succeeded! 
Connection to 127.0.0.1 25 port [tcp/smtp] succeeded! 


De manera opcional, se pueden revisar si están abiertos los puertos UDP abiertos anadiendo la opción -u. En el 
siguiente ejemplo se utiliza para netcat revisar cuáles puertos UDP se encuentran abiertos entre el rango 
comprendido entre los puertos 21 al 80. 


netcat -zu 127.0.0.1 21-80 


Lo anterior puede devolver una salida similar a la siguiente, donde se asume que se encuentran abiertos los 
puertos UDP 53, 67 y 68: 


Connection to 127.0.0.1 53 port [udp/domain] succeeded! 
Connection to 127.0.0.1 67 port [udp/bootps] succeeded! 
Connection to 127.0.0.1 68 port [udp/bootpc] succeeded! 


Si se quiere obtener una salida más descriptiva, sólo es necesario ejecutar netcat con las opciones -vz y la 
dirección IP si se quiere revisar puertos TCP abiertos o bien netcat -vzu para puertos UDP abiertos, donde la 
opción -v define se devuelva una salida más descriptiva. En el siguiente ejemplo se utiliza netcat para revisar 
los puertos TCP abiertos entre el puerto 20 al 25. 


netcat -vz 127.0.0.1 20-25 


La salida de lo anterior también devolverá, a diferencia de utilizar sólo la opción -z, cuáles puertos están 
cerrados en el rango especificado. 


netcat: connect to 127.0.0.1 port 20 (tcp) failed: Connection refused 
Connection to 127.0.0.1 21 port [tcp/ftp] succeeded! 

Connection to 127.0.0.1 22 port [tcp/ssh] succeeded! 
netcat: connect to 127.0.0.1 port 23 (tcp) failed: Connection refused 
netcat: connect to 127.0.0.1 port 24 (tcp) failed: Connection refused 
Connection to 127.0.0.1 25 port [tcp/smtp] succeeded! 


48.4.3. Creando un modelo cliente servidor. 
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Es relativamente simple crear un modelo cliente/servidor. Desde una terminal que será utilizada para iniciar un 
modelo de servidor, se ejecuta netcat con la opción -I (listen o escuchar) seguida de un número de puerto que 
esté desocupado. Esto hará que netcat se comporte como servidor escuchando peticiones en un puerto 
arbitrario. En el siguiente ejemplo se ejecuta netcat para que funcione como servidor escuchando peticiones en 
el puerto 22222. 


netcat -1 22222 


Para establecer la conexión como cliente, desde otra terminal ejecute netcat especificando como argumentos 
una dirección IP y el numero de puerto al que se quiera conectar. En el siguiente ejemplo se realiza la conexión 
al puerto 22222 de 127.0.0.1 (anfitrión local): 


netcat 127.0.0.1 22222 


Con lo anterior, todo lo que se escriba desde la terminal como cliente podrá ser visto en la terminal como 
servidor. 

48.4.4. Transferencia de datos. 

Tomando el ejemplo anterior, es posible realizar transferencia de datos desde una terminal como cliente hacia 
una terminal como servidor. La única diferencia es que en el servidor se cambia el direccionamiento de la salida 
estándar (STDOUT) de la terminal, hacia un archivo, como se ejemplifica a continuación: 


netcat -1 22222 > algo.out 


En el cliente se realiza algo similar. En lugar de ingresar datos desde la conexión. Se hace a partir de un archivo 
con contenido de la siguiente forma: 


netcat 127.0.0.1 22222 < algo.in 


En el ejemplo descrito se realiza la transferencia de datos del archivo algo.in, desde el proceso como cliente, 
hacia el archivo algo.out, en el proceso como servidor. 


440 





Joel Barrios Duenas 


Configuración de Servidores con GNU/Linux 


49. Como utilizar Netstat. 


Autor: Joel Barrios Duehas 

Correo electrónico: darkshram en gmail punto com 

Sitio de Red: http://www.alcancelibre.org/ 


Creative Commons Reconocimiento-NoComercial-Compartirlgual 2.1 


© 1999-2016 Joel Barrios Duenas. Usted es libre de copiar, distribuir y comunicar públicamente la obra y hacer obras derivadas bajo las condiciones siguientes: a) 
Debe reconocer y citar al autor original. b) No puede utilizar esta obra para fines comerciales (incluyendo su publicación, a través de cualquier medio, por entidades 
con fines de lucro). c) Si altera o transforma esta obra o genera una obra derivada, sólo puede distribuir la obra generada bajo una licencia idéntica a ésta. Al 
reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. Alguna de estas condiciones puede no aplicarse si se obtiene el 
permiso del titular de los derechos de autor. Los derechos derivados de usos legítimos u otras limitaciones no se ven afectados por lo anterior. Licencia completa 
en castellano. La información contenida en este documento y los derivados de éste se proporcionan tal cual son y los autores no asumirán responsabilidad alguna 
si el usuario o lector hace mal uso de éstos. 


49.1. Introducción. 

49.1.1. Acerca de Netstat. 

Netstat es una herramienta utilizada para supervisar las conexiones de red, tablas de encaminamiento, 
estadísticas de interfaces y asignaturas de multidifusión. Se utiliza principalmente para encontrar problemas en 
una red y para medir el tráfico de red como una forma de calcular el desempeno de ésta. 

49.2. Procedimientos. 

Ejecute netstat con la opción -a para visualizar todas las conexiones activas en el sistema, tanto TCP como 
UDP: 


netstat -a 


Debido a que la cantidad de datos puede ser mucha para ser visualizada con comodidad en la pantalla del 
monitor, será buiena idea utilizar less como subrutina. 


netstat -a | less 


Pulse la tecla q para salir. 

Acontinuación se muestra un ejemplo de la salida: 
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Active Internet connections (servers and established) 


Proto Recv-Q Send-Q Local Address 

Foreign 

Address State 

tcp 

0 0 * 

netbios-ssn 

* 

k 

LISTEN 

tcp 

0 0 * 

submission 

* 

k 

LISTEN 

tcp 

0 0 * 

sunrpc 

k 

k 

LISTEN 

tcp 

0 0 * 

xll 

k 

* 

LISTEN 

tcp 

0 0 * 

5904 

■ k 

k 

LISTEN 

tcp 

0 0 * 

webcache 

k 

k 

LISTEN 

udp 

0 0 * 

filenet-tms 

* 

k 


udp 

0 0 * 

filenet-nch 

* 

k 


udp 

0 0 * 

filenet-rmi 

* 

k 


udp 

0 0 * 

filenet-pa 

k 

k 


udp 

0 0 192.168.122.1:netbios-ns * 

k 


udp 

0 0 servidor00.c:netbios-ns * 

k 


Active UNIX domain sockets (servers 

and established) 


Proto RefCnt Flags 

Type 

State 

I-Node 

Path 

unix 2 

[ ACC ] 

STREAM 

LISTENING 

17530 

§/tmp/fam-root- 

unix 2 

[ ACC ] 

STREAM 

LISTENING 

7944 

/dev/gpmctl 

unix 2 

[ ACC ] 

STREAM 

LISTENING 

6991 

/var/run/audit_events 

unix 2 

[ ACC ] 

STREAM 

LISTENING 

7409 

/var/run/dbus/system_bus_socket 

unix 2 

[ ACC ] 

STREAM 

LISTENING 

7506 

/var/run/pcscd.comm 

unix 2 

[ ACC ] 

STREAM 

LISTENING 

7647 

/var/run/acpid.socket 

unix 2 

[ ACC ] 

STREAM 

LISTENING 

7737 

/var/run/cups/cups.sock 

unix 2 

[ ACC ] 

STREAM 

LISTENING 

16795 

§/tmp/dbus-4Uato6eJUH 


Ejecute lo siguiente para mostrar solo las conexiones activas por TCP: 

netstat -t 

Ejecute lo siguiente para mostrar solo las conexiones activas por UDP: 

netstat -u 

Ejecute lo siguiente para mostrar las estadísticas de uso para todos los tipos de conexiones: 

netstat -s 

Lo anterior puede devolver una salida similar a la siguiente: 
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Ip:X 2 [ ] DGRAM 8015 

8005 total packets received 7929 

2 with invalid addressesAM 7896 

0 forwarded] DGRAM 7866 

0 incoming packets discarded 7505 

7928 incoming packets delivered CONNECTED 7412 

7905 requests sent OUtTREAM CONNECTED 7411 

Icrnp: 3 [ ] STREAM CONNECTED 7349 

19 ICMP messages receivedAM CONNECTED 7348 

0 input ICMP message failed. 7199 

ICMP input histogram:DGRAM 7071 

destination unreachable: 18 6947 

echo requests: 1 DGRAM 6917 

19 ICMP messages sentSTREAM CONNECTED 6845 

0 ICMP messages failedTREAM CONNECTED 6844 


ICMP output histogram:a | less 
destination unreachable: 18 
echo replies: 1 

Tcp: 

114 active connections openings 
2 passive connection openings 
0 failed connection attempts 

12 connection resets received 
0 connections established 
7622 segments received 

7533 segments send out 
68 segments retransmited 
0 bad segments received. 

17 resets sent 

Udp: 

287 packets received 
0 packets to unknown port received. 

0 packet receive errors 
279 packets sent 
TcpExt: 

7 TCP sockets finished time wait in fast timer 

135 delayed acks sent 

Quick ack mode was activated 26 times 

61 packets directly queued to recvmsg prequeue. 

18364064 packets directly received from backlog 
3912320 packets directly received from prequeue 
2081 packets header predicted 

1525 packets header predicted and directly queued to user 
475 acknowledgments not containing data received 
1311 predicted acknowledgments 

1 times recovered from packet loss due to SACK data 
1 congestion windows fully recovered 

4 congestion windows partially recovered using Hoe heuristic 

13 congestion windows recovered after partial ack 
0 TCP data loss events 

4 timeouts after SACK recovery 
1 fast retransmits 
47 other TCP timeouts 
22 DSACKs sent for old packets 
1 DSACKs received 

9 connections reset due to early user close 


Ejecute lo siguiente para mostrar solamente las estadísticas originadas por conexiones TCP: 


netstat -s -t 


Lo anterior puede devolver una salida similar a la siguiente: 
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Tcp: 

114 active connections openings 
2 passive connection openings 
0 failed connection attempts 

12 connection resets received 
0 connections established 
7622 segments received 

7533 segments send out 
68 segments retransmited 
0 bad segments received. 

17 resets sent 
TcpExt: 

7 TCP sockets finished time wait in fast timer 

135 delayed acks sent 

Quick ack mode was activated 26 times 

61 packets directly queued to recvmsg prequeue. 

18364064 packets directly received from backlog 
3912320 packets directly received from prequeue 
2081 packets header predicted 

1525 packets header predicted and directly queued to user 
475 acknowledgments not containing data received 
1311 predicted acknowledgments 

1 times recovered from packet loss due to SACK data 
1 congestion windows fully recovered 

4 congestion windows partially recovered using Hoe heuristic 

13 congestion windows recovered after partial ack 
0 TCP data loss events 

4 timeouts after SACK recovery 
1 fast retransmits 
47 other TCP timeouts 
22 DSACKs sent for old packets 
1 DSACKs received 

9 connections reset due to early user close 


Ejecute lo siguiente para mostrar solamente las estadísticas originadas por conexiones UDP: 


netstat -s -u 


Lo anterior puede devolver una salida similar a la siguiente: 


Udp: 

287 packets received 
0 packets to unknown port received. 
0 packet receive errors 
279 packets sent 


Ejecute lo siguiente para mostrar la tabla de encaminamientos: 


netstat -r 


Lo anterior puede devolver una salida similar a la siguiente: 


Kernel IP routing table 
Destination Gateway 

Genmask 

Flags 

MSS Window 

irtt 

Iface 

192.168.0.0 

k 

255.255.255.0 

U 

0 0 

0 

eth0 

192.168.122.0 

k 

255.255.255.0 

U 

0 0 

0 

virbrD 

169.254.0.0 

k 

255.255.0.0 

U 

0 0 

0 

eth0 

default 

192.168.0.254 

0.0.0.0 

UG 

0 0 

0 

eth0 


Ejecute lo siguiente para mostrar las asignaciones grupos de multidifusión: 


netstat -g 
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Lo anterior puede devolver una salida similar a la siguiente: 


IPV6/IPV4 

Group Memberships 

Interface 

RefCnt 

Group 

lo 

1 

ALL-SYSTEMS.MCAST.NET 

virbrQ 

1 

224.0.0.251 

virbrO 

1 

ALL-SYSTEMS.MCAST.NET 

ethQ 

1 

224.0.0.251 

eth0 

1 

ALL-SYSTEMS.MCAST.NET 

lo 

1 

ff02::1 

peth0 

1 

ff02::1 

virbrO 

1 

ff02::1:ff00:0 

virbrO 

1 

ff02::1 

vif0.0 

1 

ff02::1 

eth0 

1 

ff02::1:ff56:18b9 

eth0 

1 

ff02::1 

xenbrO 

1 

ff02::1 

vifl.0 

1 

ff02::1 


Ejecute lo siguiente para mostrar la tabla de interfaces activas en el sistema: 


netstat -i 


Lo anterior puede devolver una salida similar a la siguiente: 


Kernel 

Iface 

Interface 

MTU 

table 

Met 

RX-0K RX- 

-ERR RX- 

-DRP RX- 

-OVR 

TX-0K TX- 

-ERR TX- 

-DRP TX- 

-OVR Flg 

eth0 

1500 

0 

2397 

0 

0 

0 

2079 

0 

0 

0 BMRU 

lo 

16436 

0 

5780 

0 

0 

0 

5780 

0 

0 

0 LRU 

petho 

1500 

0 

3294 

0 

0 

0 

2584 

0 

0 

0 BORU 

VÎf 0 . 0 

1500 

0 

2079 

0 

0 

0 

2397 

0 

0 

0 BORU 

vifl.0 

1500 

0 

45 

0 

0 

0 

384 

0 

0 

0 BORU 

virbr0 

1500 

0 

0 

0 

0 

0 

72 

0 

0 

0 BMRU 

xenbr0 

1500 

0 

216 

0 

0 

0 

0 

0 

0 

0 BORU 
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50.1. Introducción 

50.1.1. Acerca de ARP. 

ARP significa Address Resolution Protocol o protocolo de resolución de direcciones. ARP se utiliza para 
supervisar y modificar la tabla de asignaciones de direcciones IP y direcciones MAC (Media Access Control). 
ARP utiliza un cache que consiste en una tabla que almacena las asignaciones entre nivel de enlace de datos y 
las direcciones IP del nivel de red. El nivel de enlace de datos se encarga de gestionar las direcciones MAC y el 
nivel de red de las direcciones IP. ARP asocia direcciones IP a las direcciones MAC, justo a la inversa del 
protocolo RARP que asigna direcciones MAC a las direcciones IP. Para reducir el número de peticiones ARP, 
cada sistema operativo que implementa el protocolo ARP mantiene una cache en la memoria RAM de todas 
las recientes asignaciones. 

Ejecute lo siguiente para consultar el manual detallado de arp: 


man 8 arp 


50.2. Equipamiento lógico necesario. 

Arp forma parte del paquete net-tools, el cual se instala de modo predeterminado en CentOS, Red Hat™ 
Enterprise Linux, openSUSE™ y SUSE™ Linux Enterprise, pues se trata de un paquete obligatorio. 

50.3. Procedimientos. 

50.3.1. Modificar la duración del cache de la tabla ARP. 

El tiempo de duración predeterminado para el cache de la tabla de ARP es de 60 segundos. Puede cotejarse 
ésto examinando el contenido de /proc/sys/net/ipv4/neigh/default/gc_stale_time. 


cat /proc/sys/net/ipv4/neigh/default/gc_stale„time 


Lo anterior debe devolver el valor 60. 

Cambiar el valor de la duración del cache de la tabla de ARP puede impedir se desborde ésta cuando se trabaja 
en redes compuestas por centenares o miles de sistemas que en conjunto hacen demasiadas peticiones ARP 
que pudieran saturar las capacidades de un servidor. 
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El valor puede modificarse utilizando sysctl para cambiar el valor de la variable 
net.ipv4.neigh.default.gc_stale time. En el siguiente ejemplo se cambia el valor predeterminado y el de la 
interfaz enp0s8 a 3600 segundos (1 hora): 


sysctl -w net. ipv4. neigh . default. gc_stale_time=:3600 
sysctl -w net.ipv4.neigh.enp0s8.gc_stale_time=3600 


Ejecute lo siguiente para cotejar los cambios: 


cat /proc/sys/net/ipv4/neigh/default/gc_stale_time 
cat /proc/sys/net/ipv4/neigh/enp0s8/gc_stale_time 


Lo anterior debe devolver en ambos casos el valor 3600. 


Edite el archivo /etc/sysctl.conf para que el cambio sea permanente: 

vim /etc/sysctl.conf 

Anada al final del archivo el siguiente contenido, conservando un espacio antes y después del signo = (igual): 

net.ipv4.neigh.default.gc_stale_time = 3600 
net.ipv4.neigh.enp0s8.gc_stale„time = 3600 


50.3.2. Uso básico de arp. 

Ejecute arp con la opción -a para ver el cache ARP actual: 
arp -a 

Lo anterior debe devolver algo similar a lo siguiente —en el caso de tratarse de un único sistema: 

m254.alcancelibre.org (192.168.1.254) at 00:14:95:97:27:E9 [ether] on enp0s3 


La salida de la tabla puede ser similar a lo siguiente cuando se trata de un servidor que sirve como puerta de 
enlace para una red de área local: 


m051.redlocal.net (10.1.1.51) at 00:13:20:D0:09:1E [ether] on enp0s8 
m046.redlocal.net (10.1.1.46) at 00:0F:1F:B1:71:14 [ether] on enp0s8 
m073.redlocal.net (10.1.1.73) at 00:11:25:F6:93:F1 [ether] on enp0s8 
m070.redlocal.net (10.1.1.70) at 00:11:25:F6:A2:52 [ether] on enp0s8 
m040.redlocal.net (10.1.1.40) at 00:0D:60:6E:27:34 [ether] on enp0s8 
m036.redlocal.net (10.1.1.36) at 00:0D:60:6E:25:FB [ether] on enp0s8 
m011.redlocal.net (10.1.1.11) at 00:11:2F:C7:D0:D7 [ether] on enp0s8 


Ejecute arp se utiliza sin opciones para ver la información en estilo Linux: 


arp 


Lo anterior debe devolver una salida similar a la siguiente: 
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Address 

HWtype 

HWaddress 

Flags Mask 

Iface 

m051. redlocal.net 

ether 

00:13:20:D0:Q9:1E 

C 

enp0s8 

m046.redlocal.net 

ether 

00:0F:1F:B1:71:14 

C 

enp0s8 

m073. redlocal.net 

ether 

00:11:25:F6:A2:52 

C 

enp0s8 

m070.redlocal.net 

ether 

00:11:25:F6:95:8E 

C 

enp0s8 

m040. redlocal.net 

ether 

00:0D:60:6E:26:6F 

C 

enp0s8 

m036.redlocal.net 

ether 

00:11:25:F6:5F:81 

C 

enp0s8 


Ejecute arp con la opción -n para observar lo anterior en formato numérico 


arp -n 


Lo anterior debe devolver una salida similar a la siguiente: 


Address 

HWtype 

HWaddress 

Flags Mask 

Iface 

10.1.1.46 

ether 

00:0F:1F:B1:71:14 

C 

enp0s8 

10.1.1.70 

ether 

00:11:25:F6:A2:52 

C 

enp0s8 

10.1.1.73 

ether 

00:11:25:F6:93:F1 

C 

enp0s8 

10.1.1.40 

ether 

00:0D:60:6E:27:34 

C 

enp0s8 

10.1.1.34 

ether 

00:0D:60:6E:26:6F 

C 

enp0s8 


Ejecute arp con la opción -i y el nombre de una interfaz como argumento para ver el caché específico para 
ésta. Ejemplo: 


arp -i enp0s3 


Lo anterior debe regresar algo similar a lo siguiente: 


Address 

HWtype 

HWaddress 

Flags Mask 

Iface 

m254.alcancelibre.org 

ether 

00:14:95:97:27:E9 

C 

enp0s3 


Ejecute arp con la opción -s con un nombre de anfitrión y una dirección MAC como argumentos para anadir 
manualmente un registro a la tabla de ARP. Ejemplo: 


arp -s m200.redlocal.net 00:08:A1:84:18:AD 


Ejecute arp con la opción -d y un nombre de anfitrión o dirección IP como argumento para eliminar 
manualmente un registro de la tabla de ARP. Ejemplo: 


arp -d m200.redlocal.net 


Ejecute lo siguiente para limpiar todo el cache: 


for i in 'arp -n | awk '{print $1}' | grep -v Address' 
do 

arp -d $i 

done 


Lo anterior se pide crear la variable / a partir de la salida de la ejecución de arp con la opción -n, para devolver 
las direcciones numéricas, mostrando a través de awk, sólo la primera columna de la tabla generada y 
eliminando la cadena de caracteres Address. Ésto genera una lista de direcciones IP que se asignan como 
valores de la variable / en el bucle, donde se elimina cada una de estas direcciones IP utilizando arp -d. 


El objeto de limpiar el cache de ARP es permitir corregir los registros de la tabla en ciertos escenarios donde, 
por ejemplo, un equipo fue encendido con una dirección IP que ya esté en uso. 
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51.1. Introducción. 

51.1.1. Acerca de Iptables y Netfilter. 

Netfilter es un conjunto de ganchos (Hooks, es decir, técnicas de programación que se emplean para crear 
cadenas de procedimientos como manejador) dentro del núcleo de GNU/Linux y que son utilizados para 
interceptar y manipular paquetes de red. El componente mejor conocido es el cortafuegos, el cual realiza 
procesos de filtración de paquetes. Los ganchos son también utilizados por un componente que se encarga del 
NAT (acrónimo de Network Address Translation o Traducción de dirección de red). Estos componentes son 
cargados como módulos del núcleo. 

Iptables es el nombre de la herramienta de espacio de usuario (User Space, es decir, área de memoria donde 
todas las aplicaciones, en modo de usuario, pueden ser intercambiadas hacia memoria virtual cuando sea 
necesario) a través de la cual los administradores crean reglas para cada filtrado de paquetes y módulos de 
NAT. Iptables es la herramienta estándar de todas las distribuciones modernas de GNU/Linux. 

URL: http://www.netfilter.org/ 

51.2. Equipamiento lógico necesario. 

51.2.1. Instalación a través de yum. 

Si utiliza CentOS 5 y 6, Red Hat Enterprise Linux 5 o 6, solo se necesita realizar lo siguiente para instalar o 
actualizar el equipamiento lógico necesario: 

yum -y install iptables 


51.3. Procedimientos. 

51.3.1. Cadenas. 

Las cadenas pueden ser para tráfico entrante (INPUT), tráfico saliente (OUTPUT) o tráfico reenviado 

(FORWARD). 

51.3.2. Reglas de destino. 

Las reglas de destino pueden ser aceptar conexiones (ACCEPT), descartar conexiones (DROP), rechazar 
conexiones (REJECT), encaminamiento posterior (POSTROUTING), encaminamiento previo (PREROUTING), 
SNAT, NAT, entre otras. 
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51.3.3. Políticas por defecto. 

Establecen cual es la acción a tomar por defecto ante cualquier tipo de conexión. La opción -P cambia una 
política para una cadena. En el siguiente ejemplo se descartan (DROP) todas las conexiones que ingresen 
(INPUT), todas las conexiones que se reenvíen (FORWARD) y todas las conexiones que salgan (OUTPUT), es 
decir, se descarta todo el tráfico que entre desde una red pública y el que trate de salir desde la red local. 

iptables -P INPUT DROP 
iptables -P FORWARD DROP 

iptables -P OUTPUT ACCEPT 

51.3.4. Limpieza de reglas específicas. 

A fin de poder crear nuevas reglas, se deben borrar las existentes, para el tráfico entrante, tráfico reenviado y 
tráfico saliente así como el NAT. 


iptables -F INPUT 
iptables -F FORWARD 
iptables -F OUTPUT 
iptables -F -t nat 


51.3.5. Reglas específicas. 

Las opciones más comunes son: 

• -A anade una cadena, la opción -i define una interfaz de tráfico entrante 

• -o define una interfaz para trafico saliente 

• -j establece una regla de destino del tráfico, que puede ser ACCEPT, DROP o REJECT. La 

• -m define que se aplica la regla si hay una coincidencia específica 

• -state define una lista separada por comas de distinto tipos de estados de las conexiones 
(INVALID, ESTABLISHED, NEW, RELATED). 

• -to-source define que IP reportar al tráfico externo 

• -s define trafico de origen 

• -d define tráfico de destino 

• -source-port define el puerto desde el que se origina la conexión 

• -destination-port define el puerto hacia el que se dirige la conexión 

• -t tabla a utilizar, pueden ser nat, filter, mangle o raw. 

Ejemplos de reglas. 

Reenvío de paquetes desde una interfaz de red local (ethl) hacia una interfaz de red pública (ethO): 

iptables -A FORWARD -i ethl -o ethO -j ACCEPT 

Aceptar reenviar los paquetes que son parte de conexiones existentes (ESTABLISHED) o relacionadas de 
tráfico entrante desde la interfaz ethl para tráfico saliente por la interfaz ethO: 

iptables -A FORWARD -i etho -o ethl -m state --state ESTABLISHED,RELATED -j ACCEPT 

Permitir paquetes en el propio muro cortafuegos para tráfico saliente a través de la interfaz ethO que son parte 
de conexiones existentes o relacionadas: 
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iptables -A INPUT -i etho -m State --state ESTABLISHED,RELATED -j ACCEPT 


Permitir (ACCEPT) todo el tráfico entrante (INPUT) desde (-s) cualquier dirección (0/0) la red local (ethl) y 
desde el retorno del sistema (lo) hacia (-d) cualquier destino (0/0): 

iptables -A INPUT -i ethl -s 0/0 -d 0/0 -j ACCEPT 
iptables -A INPUT -i lo -s 0/0 -d 0/0 -j ACCEPT 


Hacer (-j) SNAT para el tráfico saliente (-o) a tráves de la interfaz ethO proveniente desde (-s) la red local 
(192.168.0,0/24) utilizando (-to-source) la dirección IP vv.x.y.z. 

iptables -A POSTROUTING -t nat -s 192.168.0.0/24 -o eth0 -j SNAT --to-source x.y.z.c 


Descartar (DROP) todo el tráfico entrante (-i) desde la interfaz ethO que trate de utilizar la dirección IP pública 
del servidor (vv.x.y.z), alguna dirección IP de la red local (192.168.0.0/24) o la dirección IP del retorno del 
sistema (127.0.01) 


iptables -A INPUT -i eth0 -s w.x.y.x/32 -j DROP 

iptables -A INPUT -i eth0 -s 192.168.0.0/24 -j DROP 

iptables -A INPUT -i eth0 -s 127.0.0.0/8 -j DROP 


Aceptar (ACCEPT) todos los paquetes SYN (-syn) del protocolo TCP (-p tcp) para los puertos (-destination- 
port) de los protocolos SMTP (25), HTTP(80), HTTPS (443) y SSH (22): 


iptables -A INPUT -p tcp -s 0/0 -d 0/0 --destination-port 25 --syn -j ACCEPT 

iptables -A INPUT -p tcp -s 0/0 -d 0/0 --destination-port 80 --syn -j ACCEPT 

iptables -A INPUT -p tcp -s 0/0 -d 0/0 --destination-port 443 --syn -j ACCEPT 

iptables -A INPUT -p tcp -s 0/0 -d 0/0 --destination-port 22 --syn -j ACCEPT 


Aceptar (ACCEPT) todos los paquetes SYN (--syn) del protocolo TCP (-tcp) para los puertos (-destination- 
port) del protocolos SMTP (25) en el servidor (w.x.y.z/32), desde (-s) cualquier lugar (0/0) hacia (-d) cualquier 
lugar (0/0). 


iptables -A INPUT -p tcp -s 0/0 -d w.x.y.z/32 --destination-port 25 --syn -j ACCEPT 


Aceptar (ACCEPT) todos los paquetes SYN (-syn) del protocolo TCP (-p tcp) para los puertos (-destination- 
port) de los protocolos POP3 (110), POP3S (995), IMAP (143) y IMAPS (993): 


iptables -A INPUT -p tcp -s 0/0 -d 0/0 --destination-port 110 --syn -j ACCEPT 
iptables -A INPUT -p tcp -s 0/0 -d 0/0 --destination-port 995 --syn -j ACCEPT 
iptables -A INPUT -p tcp -s 0/0 -d 0/0 --destination-port 143 --syn -j ACCEPT 
iptables -A INPUT -p tcp -s 0/0 -d 0/0 --destination-port 993 --syn -j ACCEPT 


Aceptar (ACCEPT) el tráfico entrante (-i) proveniente desde la interfaz ethl cuando las conexiones se 
establezcan desde el puerto (-sport) 67 por protocolos (-p) TCP y UDP. 

iptables -A INPUT -i ethl -p tcp --sport 68 --dport 67 -j ACCEPT 
iptables -A INPUT -i ethl -p udp --sport 68 --dport 67 -j ACCEPT 


Aceptar (ACCEPT) conexiones de tráfico entrante (INPUT) por protocolo (-p) UDP cuando se establezcan 
desde (-s) el servidor DNS 200.33.145.217 desde el puerto (-source-port) 53 hacia (-d) cualquier destino 
(0/0): 
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iptables -A INPUT -p udp -s 200.33.146.217/32 --source-port 53 -d 0/0 -j ACCEPT 


51.3.5.1. Cerrar accesos. 

Descartar (DROP) el tráfico entrante (INPUT) para el protocolo (-p) TCP hacia los puerto (-destination-port) 
de SSH (22) yTelnet (23): 

iptables -A INPUT -p tcp --destination-port 22 -j DROP 
iptables -A INPUT -p tcp --destination-port 23 -j DROP 

Descartar (DROP) todo tipo de conexiones de tráfico entrante (INPUT) desde (-s) la dirección IP a.b.c.d: 

iptables -A INPUT -s a.b.c.d -j DROP 

Rechazar (REJECT) conexiones hacia (OUTPUT) la dirección IP a.b.c.d desde la red local: 

iptables -A OUTPUT -d a.b.c.d -s 192.168.0.0/24 -j REJECT 

51.3.6. Eliminar reglas. 

En general se utiliza la misma regla, pero en lugar de utilizar -A (append), se utiliza -D (delete). 

Eliminar la regla que descarta (DROP) todo tipo de conexiones de tráfico entrante (INPUT) desde (-s) la 
dirección IP a.b.c.d: 


iptables -D INPUT -s a.b.c.d -j DROP 

51.3.7. Mostrar la lista de cadenas y reglas. 

Una vez cargadas todas las cadenas y reglas de iptables es posible visualizar éstas utilizando el mandato 
iptables con las opciones -n, para ver las listas en formato numérico y -L, para solicitar la lista de éstas 
cadenas. 


iptables -nL 


Cuando no hay reglas ni cadenas cargadas, la salida debe devolver lo siguiente: 


Chain INPUT (policy ACCEPT) 
target prot opt source 

Chain FORWARD (policy ACCEPT) 
target prot opt source 

Chain OUTPUT (policy ACCEPT) 
target prot opt source 


destination 


destination 

destination 


Cuando hay cadenas presentes, la salida, suponiendo que se utilizaron los ejemplos de este documento, debe 
devolver algo similar a lo siguiente: 


Chain INPUT (policy DROP) 
target prot opt source 

ACCEPT all -- 0.0.0.0/0 

ACCEPT all -- 0.0.0.0/0 

ACCEPT all -- 0.0.0.0/0 


destination 

0.0.0.0/0 State RELATED,ESTABLISHED 

0 . 0 . 0 . 0/0 

0.0.0.070 
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DROP 

all 


192.168.1.64 

0.0.0.0/0 



DROP 

all 

-- 

172.16.0.0/24 

0.0.0.0/0 



DROP 

all 

-- 

127.0.0.0/8 

0.0.0.0/0 



ACCEPT 

tcp 

-- 

0.0.0.0/0 

0.0.0.0/0 

tcp 

dpt:25 flags:0x17/0x02 

ACCEPT 

tcp 

-- 

0.0.0.0/0 

0.0.0.0/0 

tcp 

dpt:80 flags:0x17/0x02 

ACCEPT 

tcp 

-- 

0.0.0.0/0 

0.0.0.0/0 

tcp 

dpt:443 flags:0x17/0x02 

ACCEPT 

tcp 

-- 

0.0.0.0/0 

0.0.0.0/0 

tcp 

dpt:22 flags:0x17/0x02 

ACCEPT 

tcp 

-- 

0.0.0.0/0 

192.168.1.64 

tcp 

dpt:25 flags:0x17/0x02 

ACCEPT 

tcp 

-- 

0.0.0.0/0 

0.0.0.0/0 

tcp 

dpt:110 flags:0x17/0x02 

ACCEPT 

tcp 

-- 

0.0.0.0/0 

0.0.0.0/0 

tcp 

dpt:995 flags:0x17/0x02 

ACCEPT 

tcp 

-- 

0.0.0.0/0 

0.0.0.0/0 

tcp 

dpt:143 flags:0x17/0x02 

ACCEPT 

tcp 

-- 

0.0.0.0/0 

0.0.0.0/0 

tcp 

dpt:993 flags:0x17/0x02 

ACCEPT 

tcp 

-- 

0.0.0.0/0 

0.0.0.0/0 

tcp 

spt:68 dpt:67 

ACCEPT 

udp 

-- 

0.0.0.0/0 

0.0.0.0/0 

udp 

spt:68 dpt:67 

ACCEPT 

udp 


200.33.146.217 

0.0.0.0/0 

udp 

spt:53 

Chain FORWARD (policy DROP) 




target 

prot 

opt 

source 

destination 



ACCEPT 

all 

-- 

0.0.0.0/0 

0.0.0.0/0 



ACCEPT 

all 

-- 

0.0.0.0/0 

0.0.0.0/0 

State RELATED,ESTABLISHED 

Chain OUTPUT (policy ACCEPT) 




target 

prot 

opt 

source 

destination 



[root@m064 

-]# iptables -nL 




Chain INPUT (policy DROP) 




target 

prot 

opt 

source 

destination 



ACCEPT 

all 


0.0.0.0/0 

0.0.0.0/0 

State RELATED,ESTABLISHED 

ACCEPT 

all 

-- 

0.0.0.0/0 

0.0.0.0/0 



ACCEPT 

all 

-- 

0.0.0.0/0 

0.0.0.0/0 



DROP 

all 

-- 

192.168.1.64 

0.0.0.0/0 



DROP 

all 

-- 

172.16.0.0/24 

0.0.0.0/0 



DROP 

all 

-- 

127.0.0.0/8 

0.0.0.0/0 



ACCEPT 

tcp 

-- 

0.0.0.0/0 

0.0.0.0/0 

tcp 

dpt:25 flags:0x17/0x02 

ACCEPT 

tcp 

-- 

0.0.0.0/0 

0.0.0.0/0 

tcp 

dpt:80 flags:0x17/0x02 

ACCEPT 

tcp 

-- 

0.0.0.0/0 

0.0.0.0/0 

tcp 

dpt:443 flags:0x17/0x02 

ACCEPT 

tcp 

-- 

0.0.0.0/0 

0.0.0.0/0 

tcp 

dpt:22 flags:0x17/0x02 

ACCEPT 

tcp 

-- 

0.0.0.0/0 

192.168.1.64 

tcp 

dpt:25 flags:0x17/0x02 

ACCEPT 

tcp 


0.0.0.0/0 

0.0.0.0/0 

tcp 

dpt:110 flags:0x17/0x02 

ACCEPT 

tcp 

-- 

0.0.0.0/0 

0.0.0.0/0 

tcp 

dpt:995 flags:0x17/0x02 

ACCEPT 

tcp 

-- 

0.0.0.0/0 

0.0.0.0/0 

tcp 

dpt:143 flags:0x17/0x02 

ACCEPT 

tcp 

-- 

0.0.0.0/0 

0.0.0.0/0 

tcp 

dpt:993 flags:0x17/0x02 

ACCEPT 

tcp 

-- 

0.0.0.0/0 

0.0.0.0/0 

tcp 

spt:68 dpt:67 

ACCEPT 

udp 

-- 

0.0.0.0/0 

0.0.0.0/0 

udp 

spt:68 dpt:67 

ACCEPT 

udp 

-- 

200.33.146.217 

0.0.0.0/0 

udp 

spt:53 

Chain FORWARD (policy DROP) 




target 

prot 

opt 

source 

destination 



ACCEPT 

all 

-- 

0.0.0.0/0 

0.0.0.0/0 



ACCEPT 

all 

-- 

0.0.0.0/0 

0.0.0.0/0 

State RELATED,ESTABLISHED 

Chain OUTPUT (policy ACCEPT) 




target 

prot 

opt 

source 

destination 




51.3.8. Iniciar, detener y reiniciar el servicio iptables. 

Si está de acuerdo con las reglas generadas de iptables, utilice el siguiente mandato para guardar éstas: 

service iptables save 


Las reglas quedarán almacenadas en el archivo /etc/sysconfig/iptables. 
Para ejecutar por primera vez el servicio iptables, utilice: 
service iptables start 


Para hacer que los cambios hechos tras modificar la configuración surtan efecto, utilice: 

service iptables restart 
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Para detener el servicio iptables y borrar todas las reglas utilice: 
service iptables stop 

51.3.9. Agregar el servicio iptables al arranque del sistema. 

Para hacer que el servicio de iptables esté activo con el siguiente inicio del sistema, en todos los niveles de 
ejecución (2, 3, 4 y 5), se utiliza lo siguiente: 

chkconfig iptables on 

51.4. Bibliografía. 

• Wikipedia: http://en.wikipedia.org/wiki/lptables 

• Dennis G. Allard y Don Cohen http://oceanpark.com/notes/firewall_example.html 
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52. Configuración básica de Shorevvall. 

Creative Commons Reconocimiento-NoComercial-Compartirlgual 2.1 


© 1999-2016 Joel Barrios Duenas. Usted es libre de copiar, distribuir y comunicar públicamente la obra y hacer obras derivadas bajo las condiciones siguientes: a) 
Debe reconocer y citar al autor original. b) No puede utilizar esta obra para fines comerciales. c) Si altera o transforma esta obra o genera una obra derivada, sólo 
puede distribuir la obra generada bajo una licencia idéntica a ésta. Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. 
Alguna de estas condiciones puede no aplicarse si se obtiene el permiso del titular de los derechos de autor. Los derechos derivados de usos legítimos u otras 
limitaciones no se ven afectados por lo anterior. La información contenida en este documento y los derivados de éste se proporcionan tal cual son y los autores no 
asumirán responsabilidad alguna si el usuario o lector hace mal uso de éstos. 


52.1. Introducción. 

52.1.1. Acerca de Shorewall. 

Shorevvall (Shoreline Firevvall) es una robusta y extensible herramienta de alto nivel para la configuración 
de muros cortafuego. Shorevvall sólo necesita se definan algunos datos en algunos archivos de texto simple 
y éste creará las reglas de cortafuegos correspondientes a través de iptables. Shorevvall puede permitir utilizar 
un sistema como muro cortafuegos dedicado, sistema de múltiples funciones como puerta de enlace, 
dispositivo de encaminamiento y servidor. 

URL: http://www.shorewall.net/ 

52.1.2. Acerca de iptables y Netfilter. 

Netfilter es un conjunto de ganchos (Hooks), es decir, técnicas de programación que se emplean para crear 
cadenas de procedimientos como gestor) dentro del núcleo de GNU/Linux y que son utilizados para interceptar 
y manipular paquetes de red. El componente mejor conocido es el cortafuegos, el cual realiza procesos de 
filtración de paquetes. Los ganchos son también utilizados por un componente que se encarga del NAT 
(acrónimo de Network Address Translation o Traducción de dirección de red). Estos componentes son cargados 
como módulos del núcleo. 

Iptables es el nombre de la herramienta de espacio de usuario (User Space), es decir, área de memoria donde 
todas las aplicaciones, en modo de usuario, pueden ser intercambiadas hacia memoria virtual cuando sea 
necesario) a través de la cual los administradores crean reglas para cada filtrado de paquetes y módulos de 
NAT. iptables es la herramienta estándar de todas las distribuciones modernas de GNU/Linux. 

URL: http://www.netfilter.org/ 

52.1.3. Acerca de iproute. 

Iproute es una colección de herramientas (ifcfg, ip, rtmon y tc) para GNU/Linux que se utilizan para controlar el 
establecimiento de la red TCP/IP, así como también el control de tráfico. Aunque ifconfig sigue siendo una 
popular herramienta de configuración, iproute lo ha dejado obsoleto al proveer soporte para la mayoría de las 
tecnologías modernas de red (incluyendo IP versiones 4 y 6), permitiendo a los administradores configurar los 
parámetros de red y el control de tráfico. 

URL: http://linux-net.osdl.org/index.php/lproute2 

52.2. Conceptos requeridos. 

52.2.1. cQué es una zona desmilitarizada? 
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Una zona desmilitarizada (DMZ), es parte de una red que no está dentro de la red interna (LAN) pero tampoco 
está directamente conectada hacia Internet. Podría resumirse como una red que se localiza entre dos redes. En 
términos más técnicos se refiere a un área dentro del cortafuegos donde los sistemas que la componen tienen 
acceso hacia las redes interna y externa, sin embargo no tienen acceso completo hacia la red interna y 
tampoco acceso completamente abierto hacia la red externa. Los cortafuegos y dispositivos de encaminamiento 
(routers) protegen esta zona con funcionalidades de filtrado de tráfico de red. 



Red Local 


Zona 

Des militarizada 


Muro Cortafuegos 


Ruteador o 
Modem ADSL 


Diagrama de una Zona Desmilitarizada. 

Imagen de dominio público tomada de Wikipedia y modificada con el Gimp. 

52.2.2. óQue es una Red Privada? 

Una Red Privada es aquella que utiliza direcciones IP establecidas en el RFC 1918. Es decir, direcciones IP 
reservadas para Redes Privadas dentro de los rangos 10.0.0.0/8 (desde 10.0.0.0 hasta 10.255.255.255), 
172.16.0.0/12 (desde 172.16.0.0 hasta 172.31.255.255) y 192.168.0.0/16 (desde 192.168.0.0 hasta 
192.168.255.255). 


Bloques reservados para redes privadas 


Nombre 

Rango de direcciones IP 

Numero de 
direcciones IP 

Tipo de clase 

Bloque CIDR 
mayor 

Bloque de 

24bits 

10.0.0.0-10.255.255.255 

16,777,215 

Única claseA 

10.0.0.0/8 

Bloque de 

20bits 

172.16.0.0- 

172.31.255.255 

1,048,576 

16 clases B 
contiguas 

172.16.0.0/12 

Bloque de 

16bits 

192.168.0.0- 

192.168.255.255 

65,535 

256 clases C 
contiguas 

192.168.0.0/16 


52.2.3. cQué es un NAT? 
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NAT (acrónimo de Network Address Translation o Traducción de dirección de red), también conocido como 
enmascaramiento de IP, es una técnica mediante la cual las direcciones de origen y/o destino de paquetes IP 
son reescritas mientras pasan a través de un dispositivo de encaminamiento ( router ) o muro cortafuegos. Se 
utiliza para permitir a múltiples anfitriones en una Red Privada con direcciones IP para Red Privada para 
acceder hacia Internet utilizando una única dirección IP pública. 

52.2.4. cQué es un DNAT? 

DNAT, (acrónimo de Destination Network Address Translation o traducción de dirección de red de destino) es 
una técnica mediante la cual se hace público un servicio desde una Red Privada. Es decir permite redirigir 
puertos hacia direcciones IP de Red Privada. El uso de esta técnica puede permitir a un usuario en Internet 
alcanzar un puerto en una Red Privada —dentro de una LAN— desde el exterior a través de un encaminador 
(router) o muro cortafuegos donde ha sido habilitado un NAT. 

52.2.5. cQué es un SNAT? 

SNAT, (acrónimo de Source Network Address Translation o traducción de dirección de red de origen) es una 
técnica mediante la cual cambia la dirección de origen de los paquetes transmitidos. Es decir, permite que una 
dirección IP o bloque de direcciones en una Red Privada —dentro de una LAN— se presente con una 
dirección IP distinta a la dirección IP principal utilizada por el encaminador ( router ) o muro cortafuegos donde ha 
sido habilitado un NAT. 

52.3. Equipamiento lógico necesario. 

Se requerirán los siguientes paquetes: 

• iptables: Controla el código del núcleo de GNU/Linux para filtración de paquetes de red. 

• iproute: Conjunto de utilidades disenadas para utilizar las capacidades avanzadas de gestión de 
redes del núcleo de GNU/Linux.. 

• shorewall: Shoreline Firewall. 

Shorewall está disponible en los almacenes YUM predeterminados de ALDOS 1.4 y Fedora™. En éstos es 
innecesario anadir almacenes YUM de terceros. 

Shorewall está ausente en los almacenes YUM de CentOS o Red Hat™ Enterprise Linux, por lo tanto se 
requiere anadir un almacen YUM de terceros como EPEL o AL-Server. 

ALDOS 1.4 y Fedora™. Ejecute lo siguiente para anadir el archivo de configuración del almacen YUM de AL- 
Server sólo si utiliza CentOS o Red Hat™ Enterprise Linux: 


cd /etc/yum.repos.d/ 

wget -N http://www.alcancelibre.org/al/server/AL-Server.repo 
cd 


Ejecute lo siguiente para instalar el paquete shorewall: 
yum -y install shorewall 

52.4. Procedimientos previos. 

Este documento asume que se han estudiado y aplicado los temas descritos en los documentos titulados 

«Ajustes posteriores a la instalación de CentOS 6» y « Configuración de red en GNU/Linux ». 
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52.4.1. Shorewall y SELinux. 

SELinux impedirá ejecutar algunos componentes de Shorewall instalados en /usr e impedirá acceder hacia /sys 
para obtener información respecto de los dispositivos de red presentes en el sistema. Ésto puede resolverse 
anadiendo una política a SELinux. 

Instale el paquete policycoreutils-python: 

yum -y install policycoreutils-python 

El siguiente procedimiento crea una política que permitirá a Shorewall operar normalmente. 

Crear el directorio /usr/share/selinux/packages/shorewall2: 

mkdir /usr/share/selinux/packages/shorewall2 

Cambiarse al directorio /usr/share/selinux/packages/shorewall2: 

cd /usr/share/selinux/packages/shorewall2 

Descargar desde Alcance Libre el archivo http://www.alcancelibre.org/linux/secrets/shorewall2.te: 

wget http://www.alcancelibre.org/linux/secrets/shorewall2.te 

Editar el archivo shorewall.te: 


vi shorewall2.te 


Verificar que el archivo shorewall2.te tenga el siguiente contenido: 


module shorewall2 1.0; 

require { 

type shorewall_t; 
type usr_t; 
type sysfs_t; 

class file { execute execute_no_trans }; 
class dir search; 
class dir getattr; 
class process signal; 

} 

#============= shorewall_t ============== 

allow shorewall_t usr_t:file { execute execute_no_trans }; 
allow shorewall_t sysfs_t:dir search; 
allow shorewall_t sysfs_t:dir getattr; 
allow shorewall_t self:process signal; 


Crear el archivo de módulo shorewall2.mod a partir del archivo shorewall2.te: 


checkmodule -M -m -o shorewall2.mod shorewall2.te 


Crear el archivo de política shorewall2.pp a partir del archivo shorewall2.mod 
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semodule_package -o shorewall2.pp -m shorewall2.mod 


Incluir la política al sistema: 


semodule -i /usr/share/selinux/packages/shorewall2/shorewall2.pp 


Regrese al directorio de inicio de root. 


cd 


52.4.2. Determinar nomenclatura de dispositivos de red. 

La nomenclatura de los dispositivos de red dependerá de la versión de SMBIOS y versión de sistema operativo. 

Verifique el contenido del directorio /sys/class/net para conocer los nombres utilizados por los dispositivos de 
red presentes en el sistema. 

ls /sys/class/net 


Si utiliza ALDOS 1.4, CentOS 6, Red Hat™ Enterprise Linux 6 o versiones anteriores de éstos en sistemas 
con SMBIOS versión 2.5 y anteriores, la nomenclatura de dispositivos utilizada será la tradicional: 

• ethO 

• ethl 

• eth2 

• eth3 

• eth4 

• etc. 

Si utiliza ALDOS 1.4, CentOS 6, Red Hat™ Enterprise Linux 6 o versiones anteriores de éstos en sistemas 
con SMBIOS versión 2.6 en adelante, la nomenclatura de dispositivos utilizada será la siguiente para tarjetas 
empotradas: 

• eml 

• em2 

• em3 

• em4 

• em5 

• etc. 

La nomenclatura de dispositivos utilizada será la siguiente para tarjetas PCI: 

• Plpl 

• P2pl 

• P3pl 

• p4pl 

• p5pl 

• etc. 

Si utiliza CentOS 7 o Red Hat™ Enterprise Linux 7 o versiones anteriores de éstos, la nomenclatura de 
dispositivos utilizada será la siguiente para tarjetas empotradas: 
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• enol 

• eno2 

• eno3 

• eno4 

• eno5 

• etc. 

La nomenclatura de dispositivos utilizada será la siguiente para tarjetas PCI: 

• enpOsl 

• enp0s2 

• enp0s3 

• enp0s8 

• enp0s9 

• etc. 

Activación de reenvío de paquetes para IPv4. 

Si se dispone de más de un dispositivo de red y se requiere implementar un NAT, DNAT y/o SNAT, es 
indispensable activar el reenvío de paquetes para IPv4. 

52.4.2.1. CentOS 7 y Red Hat™ Enterprise Linux 7 y versiones posteriores de éstos. 

Edite el archivo /etc/sysctl.conf. 
vi /etc/sysctl.conf 

Encontrará el siguiente contenido: 

# System default settings live in /usr/lib/sysctl.d/00-system.conf. 

# To override those settings, enter new settings here, or in an /etc/sysctl.d/.conf file 

# 

# For more information, see sysctl.conf(5) and sysctl.d(5). 

Afiada lo siguiente: 


net.ipv4.ip_forward = 1 


Guarde cambios, salga del editor de texto y ejecute lo siguiente para aplicar los cambios: 


sysctl -p 


La salida de lo anterior devolverá la configuración que acaba de ahadir y de otras que estén presentes en ese 
mismo archivo. 

52.4.2.2. ALDOS 1.4, CentOS 6 y Red Hat™ Enterprise Linux 6 y versiones anteriores de 
éstos. 

Edite el archivo /etc/sysctl.conf: 

vi /etc/sysctl.conf 
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Al inicio del archivo encontrará el siguiente contenido: 


# Kernel sysctl configuration file for Red Hat Linux 

# 

# For binary values, 0 is disabled, 1 is enabled. See sysctl(8) and 

# sysctl.conf(5) for more details. 

# Controls IP packet forwarding 
net.ipv4.ip_forward = 0 


Cambie el valor 0 de net.ipv4.ip_forward por 1: 


# Kernel sysctl configuration file for Red Hat Linux 

# 

# For binary values, 0 is disabled, 1 is enabled. See sysctl(8) and 

# sysctl.conf(5) for more details. 

# Controls IP packet forwarding 

net.ipv4.ip_forward = 1 


Ejecute lo siguiente para aplicar los cambios: 

sysctl -p 


Lo anterior devolverá como salida algo similar a lo siguiente, donde deberá mostrarse que se ha aplicado 

net.ipv4.ip_forward con el valor 1: 


net.ipv4.ip_forward = 1 

net.ipv4.conf.default.rp_filter = 1 

net.ipv4.conf.default.accept_source_route = 0 

kernel.sysrq = 0 

kernel.core_uses_pid = 1 

error: "net.bridge.bridge-nf-call-ip6tables" is an unknown key 
error: "net.bridge.bridge-nf-call-iptables" is an unknown key 
error: "net.bridge.bridge-nf-call-arptables" is an unknown key 


Si se carece de interfaces de red configuradas con IPv6, es normal e inofensivo se muestren los tres errores 
mostrados arriba. 

52.5. Procedimiento de configuración de Shorevvall. 

Se modificarán los siguientes archivos: 


• /etc/shorewall/shorewall.conf: Archivo general de configuración de Shorewall. En este se activa 
el servicio y funciones que se requiera utilizar. 

• /etc/shorewall/zones: Se utiliza para definir las zonas que utilizará el muro cortafuegos. 

• /etc/shorewall/interfaces: Se utiliza para definir cuáles dispositivos de red corresponden a una 
zona del muro cortafuegos en particular y las opciones que se requieran para cada una de éstas. 

• /etc/shorewall/masq: Se utiliza para definir cuáles dispositivos utilizar para los 
enmascaramientos de direcciones IP. 

• /etc/shorewall/policy: Se utiliza para definir las políticas predeterminadas para cada zona del 
muro cortafuegos respecto de las demás zonas. 

• /etc/shorewall/rules: Se utiliza para definir las reglas para apertura de puertos. 

• /etc/shorewall/blrules: Se utiliza para definir reglas para bloquear las direcciones IP o bloques 
de direcciones IP que se desea poner en lista negra. 
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52.5.1. Archivo shorevvall.conf. 

Shorewall viene inactivo de modo predeterminado. Para activar el servicio edite el archivo 

/etc/shorewall/shorewall.conf: 


vi /etc/shorewall/shorewall.conf 


Localice la opción STARTUP_ENABLED, la cual deberá tener «No» como valor predeterminado: 


STARTUP_ENABLED=No 


Cambie «No» por «Yes»: 


STARTUP_ENABLED=Yes 


52.5.2. Archivo zones. 

Se requiere definir cuáles zonas serán gestionadas en el muro cortafuegos. Edite el archivo 

/etc/shorewall/zones: 


vi /etc/shorewall/zones 


Encontrará que sólo está definida la zona fw con el tipo firewall: 


fw firewall 


Si dispone de un único dispositivo de red sólo podrá definir una zona (net) tipo ipv4: 


fw firewall 

net ipv4 


Si dispone de dos dispositivos de red, puede especificar una segunda zona (loc) tipo ipv4, la cual puede ser 
utilizada para acceder desde la red de área local: 


fw firewall 

net ipv4 

loc ipv4 


Si dispone de tres dispositivos de red, puede especificar una tercera zona (dmz) tipo ipv4, la cual puede ser 
utilizada para acceder desde la zona des-militarizada: 


fw firewall 

net ipv4 

loc ipv4 

dmz ipv4 


52.5.3. Archivo interfaces. 

Una vez definidas la zonas a utilizar en el muro cortafuegos, se debe definir que dispositivos de red 
corresponden a cada zona del muro cortafuegos. El archivo /etc/shorewall/interfaces varía entre las versiones 
4.4 y 4.5 de Shorewall. En la versión 4.4 se utiliza el formato 1 y consiste de 4 columnas. En la versión 4.5 se 
utiliza el formato 2 y consiste de 3 columnas. 
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Edite el archivo /etc/shorewall/interfaces: 


vi /etc/shorewall/interfaces 


Se manejan dos formatos dependiendo de la versión utilizada de shorewall. Shorewall 4.4 y versiones 
anteriores utilizan un formato de 4 columnas. Shorewall 4.5 y versiones posteriores utilizan un formato de tres 
columnas y está presente una línea que contiene 7FORMAT 2. 

52.5.3.1. CentOS 7 y Red Hat™ Enterprise Linux 7 y versiones posteriores de éstos. 

Si dispone de un único dispositivo de red defina el nombre del dispositivo de red a utilizar, auto-detección de la 
dirección de difusión (broadcast) y la opción dhcp. Esta última opción sólo es necesaria si en la interfaz habrá 
un cliente o servidor DHCR El nombre del dispositivo de red puede ser ethO, ethl, plpl, p2pl, eml, em2, etc., 
dependiendo de la versión de SMBIOS y sistema operativo: 


7F0RMAT 2 

##################################################################### 

net enp0s3 dhcp 


Si dispone de un segundo dispositivo de red puede asociar éste a la segunda zona del muro cortafuegos (loc). 
Igualmente defina que se auto-detecte la dirección de difusión y la opción dhcp si la considera necesaria. 


2F0RMAT 2 

##################################################################### 

net enp0s3 dhcp 

loc enpOsS dhcp 


Si se dispone de más de un segmento de red de área local en el segundo dispositivo de red y se desea que 
dichos segmentos de red se pueden comunicar entre si, anada la opción routeback. De otra forma se impediría 
de modo predeterminado el intercambio de tráfico entre estos segmentos de red. 


2F0RMAT 2 

##################################################################### 

net enp0s3 dhcp 

loc enp0s8 dhcp, routeback 


Si dispone de un tercer dispositivo de red puede asociar éste a la tercera zona del muro cortafuegos (dmz). 
Igualmente defina que se auto-detecte la dirección de difusión y la opción dhcp si la considera necesaria. Por lo 
general las zonas des-militarizadas prescinden de servidores DHCP por tratarse de redes designadas para 
alojar otros servidores con dirección IP estática. 


2F0RMAT 2 

##################################################################### 

net enp0s3 dhcp 

loc enp0s8 dhcp,routeback 

dmz enp0s9 


52.5.3.2. ALDOS 1.4, CentOS 6 y Red Hat™ Enterprise Linux 6 versiones anteriores de éstos. 

Si dispone de un único dispositivo de red defina el nombre del dispositivo de red a utilizar, auto-detección de la 
dirección de difusión (broadcast) y la opción dhcp. Esta última opción sólo es necesaria si en la interfaz habrá 
un cliente o servidor DHCP El nombre del dispositivo de red puede ser ethO, ethl, plpl, p2pl, eml, em2, etc., 
dependiendo de la versión de SMBIOS y sistema operativo: 


net eth0 detect dhcp 
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Si dispone de un segundo dispositivo de red puede asociar éste a la segunda zona del muro cortafuegos (loc). 
Igualmente defina que se auto-detecte la dirección de difusión y la opción dhcp si la considera necesaria. 


net 

eth0 

detect 

dhcp 

loc 

enpOsS 

detect 

dhcp 


Si se dispone de más de un segmento de red de área local en el segundo dispositivo de red y se desea que 
dichos segmentos de red se pueden comunicar entre si, anada la opción routeback. De otra forma se impediría 
de modo predeterminado el intercambio de tráfico entre estos segmentos de red. 


net 

eth0 

detect 

dhcp 

loc 

ethl 

detect 

dhcp, routeback 


Si dispone de un tercer dispositivo de red puede asociar éste a la tercera zona del muro cortafuegos (dmz). 
Igualmente defina que se auto-detecte la dirección de difusión y la opción dhcp si la considera necesaria. Por lo 
general las zonas des-militarizadas prescinden de servidores DHCP por tratarse de redes designadas para 
alojar otros servidores con dirección IP estática. 


net 

eth0 

detect 

dhcp 

loc 

ethl 

detect 

dhcp,routeback 

dmz 

eth2 

detect 



Elimine la tercera columna que coresponde a las opciones para difusión (broadcast) si utiliza Shorevvall 4.5 en 
adelante y está presente y descomentada la línea que contiene 7FORMAT 2: 


7FORMAT 2 

##################################################################### 

#ZONE 

INTERFACE 

OPTIONS 

net 

eth0 

dhcp 

loc 

ethl 

dhcp,routeback 

dmz 

eth2 



52.5.4. Archivo masq. 

Si dispone de un único dispositivo de red, omita el siguiente paso. Si dispone de de más de un dispositivo de 
red y se requiere habilitar el enmascaramiento de direcciones IP de un dispositivo hacia otro, edite el archivo 

/etc/shorewall/masq: 


vi /etc/shorewall/masq 


Si dispone de dos dispositivos de red, defina en la primera columna el dispositivo utilizado para la zona 
correspondiente a la red pública (net) y en la segunda columna el dispositivo utilizado por la zona 
correspondiente a la red de área local (loc): 

enp0s3 enpOsS 


Si dispone de tres dispositivos de red, anada otra línea donde se defina en la primera columna el dispositivo 
utilizado para la zona correspondiente a la red pública (net) y en la segunda columna el dispositivo utilizado por 
la zona correspondiente a la zona des-militarizada (dmz): 


enp0s3 enp0s8 

enp0s3 enp0s9 
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Si además de tres dispositivos de red se dispone también de más de una dirección IP en el dispositivo 
correspondiente a al red pública, puede configurar el SNAT (Source Network Address Translation , mejor 
conocido en los entornos Windows como Secure Network Address Translation ) para cada una de las zonas que 
serán enmascaradas. En el siguiente ejemplo hipotético se enmascara todo el tráfico originado desde el 
dispositivo correspondiente a la red de área local con la dirección IP 200.1.2.3 y el tráfico proveniente del 
dispositivo correspondiente a la zona des-militarizada con la dirección IP 200.1.2.4. 


enp0s3 enp0s8 200.1.2.3 
enp0s3 enp0s9 200.1.2.4 


0 


Nota. 


Por favor abstenerse de utilizar las direcciones del ejemplo anterior. Son sólo un ejemplo hipotético. Utilice direcciones 
IP que realmente se tengan asignadas en el dispositivo de red o bien omita por completo definir éstas. 


52.5.5. Archivo policy. 

Edite el archivo /etc/shorewall/policy 


vi /etc/shorewall/policy 


Si dispone de un sólo dispositivo de red defina sólo dos políticas. Una que permita al muro cortafuegos 
comunicarse a cualquier parte y otra que descarte cualquier paquete proveniente de la zona de red pública 
(net) y se guarde bitácora de la actividad generada y etiquetada con DROP: 

fW all ACCEPT 

net all DROP info 


Si dispone de dos dispositivos de red anada una tercera política que rechace todos los paquetes provenientes 
desde la zona correspondiente a la red de área local (loc) y se guarde bitácora de la actividad generada y 
etiquetada con REJECT: 


fw 

all 

ACCEPT 


net 

all 

DROP 

info 

loc 

all 

REJECT 

info 


Si dispone de tres dispositivos de red aríada una cuarta política que rechace todos los paquetes provenientes 
desde la zona correspondiente a la zona des-militarizada (dmz) y se guarde bitácora de la actividad generada y 
etiquetada con REJECT: 


fw 

all 

ACCEPT 


net 

all 

DROP 

info 

loc 

all 

REJECT 

info 

dmz 

all 

REJECT 

info 


52.5.6. Archivo rules. 

Edite el archivo /etc/shorewall/rules: 


vi /etc/shorewall/rules 


Debajo de SECTION NEW defina una regla que permita el acceso hacia el servicio de SSH (puerto 22/TCP) 
desde cualquier zona del muro cortafuegos: 
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SECTION 

NEW 




ACCEPT 

all 

fw 

tcp 

22 


Si requiere habilitar más puertos, puede hacerlo anadiendo líneas similares especificando el protocolo utilizado 
y el puerto o los puertos requeridos. En el siguiente ejemplo se habilitan los puertos para FTP, HTTP, HTTPS y 
el rango de puertos para conexiones pasivas para el servicio de FTP. 


SECTION 

ACCEPT 

NEW 

all 

fw 

tcp 

22 

ACCEPT 

all 

fw 

tcp 

20,21,80,443,30300:30309 


Defina una regla que permita hacer pings (puerto 8/ICMP) hacia el muro cortafuegos desde cualquier zona del 
muro cortafuegos, sin importar el puerto de origen, sin importar la dirección IP de destino y limitando a unatasa 
de 10 conexiones por segundo con ráfagas de 5: 


SECTION 

NEW 



ACCEPT 

all 

fw 

tcp 

ACCEPT 

all 

fw 

tcp 

ACCEPT 

all 

fw 

icmp 


22 

20,21,80,443,30300:30309 

8 - - 10/sec:5 


Los guiones medios indican que hay dos columnas de opciones si utilizar en este ejemplo. Corresponden a las 
columnas de puerto(s) de origen —SOURCE PORT(S)— y destino original —ORIGINAL DEST. Si omite 
colocarlos ocurrirá un error al intentar iniciar el servicio shorewall. 


Si dispone de dos dispositivos de red, puede habilitar la salida desde la zona correspondiente a la red de área 
local (loc) hacia diversos puertos en la zona correspondiente a la red pública (net). En el siguiente ejemplo se 
habilita la salida para los puertos 20 (ftp-data), 21 (ftp), 22 (ssh), 25 (smtp), 43 (whois), 53 (dns), 63 (whois++), 
80 (http), 110 (pop3), 123 (ntp), 143 (imap), 443 (https), 465 (smtps), 587 (submission), 993 (imaps) y 995 
(pop3s) por TCP, los puertos 43 (whois), 53 (dns), 63 (whois++) y 123 (ntp) por UDP y los pings (puerto 8 por 
ICMP) limitado a una tasa de 20 conexiones por segundo con ráfagas de 10: 


SECTION 

NEW 



ACCEPT 

all 

fw 

tcp 

ACCEPT 

all 

fw 

tcp 

ACCEPT 

all 

fw 

icmp 

ACCEPT 

loc 

net 

tcp 

ACCEPT 

loc 

net 

tcp 

ACCEPT 

loc 

net 

tcp 

ACCEPT 

loc 

net 

udp 

ACCEPT 

loc 

net 

icmp 


22 

20,21,80,443,30300:30309 
8 - - 10/sec:5 

20,21,80,443 

25,110,143,465,587,993,995 

43,53,63,123 

43,53,63,123 

8 - - 20/sec:10 


Si dispone de tres dispositivos de red, puede habilitar la salida desde la zona correspondiente a la zona des- 
militarizada (dmz) hacia diversos puertos en la zona correspondiente a la red pública (net). En el siguiente 
ejemplo se habilita la salida para los puertos 20 (ftp-data), 21 (ftp), 22 (ssh), 25 (smtp), 43 (whois), 53 (dns), 63 
(whois++), 80 (http), 110 (pop3), 123 (ntp), 143 (imap), 443 (https), 465 (smtps), 587 (submission), 993 (imaps) 
y 995 (pop3s) por TCP, los puertos 43 (whois), 53 (dns), 63 (whois++) y 123 (ntp) por UDP y los pings (puerto 8 
por ICMP) limitado a una tasa de 20 conexiones por segundo con ráfagas de 10: 
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SECTION 

NEW 



ACCEPT 

all 

fw 

tcp 

ACCEPT 

all 

fw 

tcp 

ACCEPT 

all 

fw 

icmp 

ACCEPT 

loc 

net 

tcp 

ACCEPT 

loc 

net 

tcp 

ACCEPT 

loc 

net 

tcp 

ACCEPT 

loc 

net 

udp 

ACCEPT 

loc 

net 

icmp 

ACCEPT 

dmz 

net 

tcp 

ACCEPT 

dmz 

net 

tcp 

ACCEPT 

dmz 

net 

tcp 

ACCEPT 

dmz 

net 

udp 

ACCEPT 

dmz 

net 

icmp 


22 

20,21,80,443,30300:30309 
8 - - 10/sec:5 

20,21,80,443 

25,110,143,465,587,993,995 

43,53,63,123 

43,53,63,123 

8 - - 20/sec:10 

20,21,80,443 

25,110,143,465,587,993,995 

43,53,63,123 

43,53,63,123 

8 - - 20/sec:10 


52.5.7. Archivo blrules. 

Edite el archivo /etc/shorewall/blrules: 


vi /etc/shorewall/blrules 


Cualquier dirección IP o bloques de direcciones IP que se anadan a este archivo —en el formato que se 
describe a continuación— quedarán en lista negra para todas las zonas del muro cortafuegos. Los siguientes 
son ejemplos de algunos bloques de direcciones con muy mala reputación asignados a África y algunos de los 
bloques de direcciones con pésima reputación y que se sabe son controlados por la mafia rusa: 


DROP 

net:41.0.0.0/8 

all 

DROP 

net:196.0.0.0/8 

all 

DROP 

net:154.0.0.0/8 

all 

DROP 

net:197.0.0.0/8 

all 

DROP 

net:92.241.160.0/19 

all 

DROP 

net:91.144.176.0/22 

all 

DROP 

net:212.191.0.0/17 

all 

DROP 

net:79.171.80.0/21 

all 


52.5.8. Iniciar el servicio shorewall. 

Si utiliza CentOS 7 o Red Hat™ Entrerprise Linux 7 o versiones posteriores de éstos, ejecute lo siguiente 
para iniciar el muro cortafuegos: 

systemctl start shorewall 

Si utiliza ALDOS 1.4, CentOS 6 o Red Hat™ Entrerprise Linux 6 o versiones anteriores de éstos, ejecute lo 
siguiente para iniciar el muro cortafuegos: 

service shorewall start 

52.5.9. Archivo de registro del servicio shorewall. 

Si falla al iniciar significa que hubo errores de sintaxis en cualquiera de los archivos editados. Revise el 
contenido del archivo de registro de inicio de Shorewall ejecutando lo siguiente: 

tail -80 /var/log/shorewall-init.log 
Realice las correcciones pertinentes e intente iniciar de nuevo el servicio. 
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52.6. Iniciar, detener y reiniciar el servicio shorevvall. 

52.6.1. CentOS 7 y Red Hat™ Enterprise Linux 7 y versiones posteriores de éstos. 

Para iniciar por primera vez el servicio ejecute lo siguiente: 
systemctl start shorewall 

Para reiniciar el servicio shorewall o bien hacer que los cambios hechos a la configuración surtan efecto, 
ejecute lo siguiente: 

systemctl restart shorewall 

Para detener el servicio shorewall, ejecute lo siguiente: 

systemctl stop shorewall 

52.6.2. ALDOS 1.4, CentOS 6 y Red Hat™ Enterprise Linux 6 y versiones anteriores de 
éstos. 

Para iniciar por primera vez el servicio ejecute lo siguiente: 
service shorewall start 

Para reiniciar el servicio shorewall o bien hacer que los cambios hechos a la configuración surtan efecto, 
ejecute lo siguiente: 

service shorewall restart 

Para detener el servicio shorewall, ejecute lo siguiente: 
service shorewall stop 

52.7. Agregar el servicio shorevvall al arranque del sistema. 

52.7.1. CentOS 7 y Red Hat™ Enterprise Linux 7 y versiones posteriores de éstos. 

El almacén YUM deAlcanceLibre.org instala Shorewall 4.5. De modo predeterminado el servicio shorewall está 
deshabilitado. Ejecute lo siguiente para habilitar el servicio shorewall: 

systemctl enable shorewall 

Ejecute lo siguiente para deshabilitar el servicio shorewall: 
systemctl disable shorewall 

52.7.2. ALDOS 1.4, CentOS 6 y Red Hat™ Enterprise Linux 6 y versiones anteriores de 
éstos. 
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El almacén YUM deAlcanceLibre.org instala Shorewall 4.4. De modo predeterminado el servicio shorevvall está 
habilitado en los niveles de ejecución 2, 3, 4, y 5. Ejecute lo siguiente para deshabilitar el servicio shorewall: 

chkconfig shorewall off 

Ejecute lo siguiente para habilitar el servicio shorewall: 
chkconfig shorewall on 
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53. Instalación y uso de ClamAV en CentOS 
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53.1. Introducción. 


53.1.1. Acerca de ClamAV. 

ClamAV es un conjunto de herramientas antivirus, libre y de código fuente abierto, que tiene las siguiente 
características: 

• Distribuido bajo los términos de la Licencia Publica General GNU versión 2. 


• Cumple con las especificaciones de familia de estándares POSIX (Portable Operating System Interface 
for UNIX o interfaz portable de sistema operativo para Unix). 


• Exploración rápida. 


• Detecta más de 720 mil virus, gusanos, troyanos y otros programas maliciosos. 


• Capacidad para examinar contenido de archivos ZIP, RAR, Tar, Gzip, Bzip2, MS OLE2, MS Cabinet, MS 
CHM y MS SZDD. 


• Soporte para explorar archivos comprimidos con UPX, FSG y Petite. 


• Avanzada herramienta de actualización con soporte para firmas digitales y consultas basadas sobre 
DNS. 


URL: http://www.clamav.net/ 


53.2. Equipamiento lógico necesario. 


53.2.1. Creación del usuario para ClamAV. 

De modo predeterminado, en los paquetes RPM basados sobre los disponibles para Fedora™, el usuario para 
ClamAV se asigna a través de los mandatos fedora-groupadd y fedora-useradd el UID y GID 4 en el sistema. 
A fin de prevenir un conflicto de UID/GID con otros usuarios y grupos de sistema, se recomienda crear 
previamente al grupo y usuario correspondientes para ClamAV. 

Primero genere el grupo clamav: 


groupadd -r clamav 
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Luego genere el usuario clamav: 


useradd -r \ 

-s /sbin/nologin \ 

-M -d /var/lib/clamav \ 
-c 'Clamav Antivirus' \ 
-g clamav clamav 


53.2.2. Instalación a través de yum. 

Si utiliza CentOS o Red Hat™ Enterprise Linux, puede utilizar el almacén YUM de Alcance Libre para 
servidores en producción, descargando el archivo http://www.alcancelibre.org/al/server/AL-Server.repo 
dentro del directorio /etc/yum.repos.d/: 


wget -N http://www.alcancelibre.org/al/server/AL-Server.repo \ 
-0 /etc/yum.repos.d/AL-Server.repo 


Examine el contenido del archivo /etc/yum.repos.d/AL-Server.repo: 


vi /etc/yum.repos.d/AL-Server.repo 


El contenido debe ser el siguiente: 


[AL-Server] 

name=AL Server para Enterprise Linux Sreleasever 

mirrorlist=http://www.alcancelibre.org/al/el$releasever/al-server 

gpgcheck=l 

gpgkey=http://www.alcancelibre.org/al/AL-RPM-KEY 


Salga del editor de texto y ejecute lo siguiente para instalar lo necesario: 


yum -y install clamav clamav-update 


53.3. Procedimientos. 

53.3.1. SELinux y ClamAV. 

53.3.1.1. ALDOS, CentOS 6 y Red Hat™ Enterprise Linux 6 y versiones posteriores de éstos. 

Se requiere habilitar dos políticas para permitir un funcionamiento normal. Ejecute lo siguiente: 

setsebool -P antivirus_use_Jit 1 
setsebool -P antivirus_can_scan_system 1 

La política antivirus_usejit permite a ClamAV utilizar el compilador JIT basado sobre LLVM (Low Level 
Virtual Machine), el cual es utilizado para extender las capacidades de detección de virus al compilar Bytecode. 

La política antivirus_can_scan_system permite a ClamAV poder realizar la verificación todo lo que se 
encuentre en el sistema de archivos. 

53.3.1.2. CentOS 5 y Red Hat™ Enterprise Linux 5. 
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Para que SELinux permita al mandato clamscan funcionar normalmente para verificar archivos, ejecute lo 
siguiente: 


setsebool -P clamscan„disable_trans 1 


Para que SELinux permita al mandato freshclam funcionar normalmente para actualizar la base de datos de 
firmas digitales, ejecute lo siguiente: 

setsebool -P freshclam_disable_trans 1 


53.3.2. Configuración de Freshclam. 

Freshclam es el programa utilizado para descargar y mantener actualizada la base de datos de virus y otros 
programas malignos. 

El archivo /etc/freshclam.conf de los paquetes distribuidos por Alcance Libre ya incluye las modificaciones 
necesarias para permitir el funcionamiento del mandato freshclam. Sin embargo, si se utilizan paquetes para 
Fedora, es necesario editar este archivo y comentar o eliminar la línea 9, que incluye simplemente la palabra 
inglesa Example y que de otro mod impediría utilizar el mandato freshclam: 


## 

## Example config file for freshclam 

## Please read the freshclam.conf(5) manual before editing this file. 

## 


# Comment or remove the line below. 

# Example 


El archivo /etc/sysconfig/freshclam de los paquetes distribuidos por Alcance Libre ya incluye las 
modificaciones necesarias para permitir la actualización automática de la base de datos de ClamAV. Si se 
utilizan paquetes de Fedora y a fin de mantener actualizada la base de datos de firmas digitales, es necesario 
editar el archivo /etc/sysconfig/freshclam con el objeto de permitir las actualizaciones automáticas: 


### !!!!! REMOVE ME !!!!!! 

### REMOVE ME: By default, the freshclam update is disabled to avoid 
### REMOVE ME: network access without prior activation 

# FRESHCLAM_DELAY=dÌsabled-warn # REMOVE ME 


Como root puede actualizar inmediatamente la base de datos de firmas ejecutando freshclam sin argumentos: 
freshclam 


El paquete de clamav-update distribuido por Alcance Libre y el proyecto Fedora™ incluye un guión de 
actualización automática de la base de datos de ClamAV y que consiste en el archivo /etc/cron.d/clamav- 
update, el cual se ejecuta cada tres horas a través del servicio crond. 

53.3.3. Uso básico de clamscan. 

Antes de realizar los ejemplos, cambie a un usuario regular. Ejemplo: 
su -1 fulano 
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Se asume un escenario donde existe el directorio -/Descargas y que éste tiene algunos archivos para 
experimentar. Genere el directorio -/Descargas ejecutando lo siguiente: 

mkdir -p -/Descargas/ 

Descargue el archivo de pruebas test2.zip —totalmente inofensivo — ejecutando lo siguiente: 

wget http://www.alcancelibre.org/linux/secrets/test2.zip \ 

-P -/Descargas/ 

Para revisar un archivo sospechoso de estar infectado, ejecute clamscan con la ruta del archivo como 
argumento. Ejemplo: 

clamscan ~/Descargas/test2.zip 


La salida puede ser similar a la siguiente: 


/home/fulano/Descargas/test2.zip: ClamAV-Test-Signature FOUND 

- SCAN SUMMARY - 

Known viruses: 3019169 

Engine version: 0.97.8 

Scanned directories: 0 

Scanned files: 1 

Infected files: 1 

Data scanned: 0.00 MB 

Data read: 0.00 MB (ratio 0.00:1) 

Time: 6.438 sec (0 m 6 s) 


Para realizar al revisión de un directorio y todo su contenido, ejecute clamscan con la opción -r. Ejemplo: 


clamscan -r -/Descargas 


La salida puede ser similar a la siguiente: 


/home/fulano/Descargas/Pantallazo-2.png: 0K 
/home/fulano/Descargas/esl.pdf: 0K 
/home/fulano/Descargas/Pantallazo.png: 0K 
/home/fulano/Descargas/Pantallazo-3.png: 0K 
/home/fulano/Descargas/Pantallazo-1.png: 0K 
/home/fulano/Descargas/es_mx.zip: 0K 
/home/fulano/Descargas/aletras.oxt: 0K 

/home/fulano/Descargas/test2.zip: ClamAV-Test-Signature FOUND 

/home/fulano/Descargas/amonedamx.oxt: 0K 

- SCAN SUMMARY - 

Known viruses: 3019169 

Engine version: 0.97.8 

Scanned directories: 1 

Scanned files: 9 

Infected files: 1 

Data scanned: 127.01 MB 

Data read: 190.76 MB (ratio 0.67:1) 

Time: 40.026 sec (0 m 40 s) 


Genere un directorio que será utilizado como cuarentena: 


mkdir -p ~/.clamav/viruses 


Para especificar que los archivos infectados sean movidos a un directorio de cuarentena, ejecute clamscan con 
la opción -move especificando un directorio que servirá como cuarentena. 
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clamscan - -move=/home/fulano/.clamav/viruses \ 

-r -/Descargas 


La salida puede ser similar a la siguiente: 


/home/fulano/Descargas/Pantallazo-2.png: 0K 
/home/fulano/Descargas/esl.pdf: 0K 
/home/fulano/Descargas/Pantallazo.png: OK 
/home/fulano/Descargas/Pantallazo-3.png: 0K 
/home/fulano/Descargas/Pantallazo-1.png: 0K 
/home/fulano/Descargas/es_mx.zip: OK 
/home/fulano/Descargas/aletras.oxt: 0K 

/home/fulano/Descargas/test2.zip: ClamAV-Test-Signature FOUND 

/home/fulano/Descargas/test2.zip: moved to '/home/jbarrios/.clamav/viruses/test2.zip' 

/home/fulano/Descargas/amonedamx.oxt: 0K 

- SCAN SUMMARY - 

Known viruses: 3019169 

Engine version: 0.97.8 

Scanned directories: 1 

Scanned files: 9 

Infected files: 1 

Data scanned: 127.01 MB 

Data read: 190.76 MB (ratio 0.67:1) 

Time: 40.026 sec (0 m 40 s) 


Descargue nuevamente el archivo de pruebas test2.zip ejecutando lo siguiente: 


wget http://www.alcancelibre.org/linux/secrets/test2.zip \ 
-/Descargas 


Para especificar que los archivos infectados sean eliminados, ejecute de nuevo clamscan pero la opción 
--remove con el valor yes y la opción -r con la ruta del directorio a examinar como argumento. Cabe senalar 
que esta opción debe ser utilizada con precaución. Ejemplo: 


clamscan --remove=yes \ 

-r -/Descargas 


La salida puede ser similar a la siguiente: 


/home/fulano/Descargas/Pantallazo-2.png: 0K 
/home/fulano/Descargas/esl.pdf: 0K 
/home/fulano/Descargas/Pantallazo.png: 0K 
/home/fulano/Descargas/Pantallazo-3.png: 0K 
/home/fulano/Descargas/Pantallazo-1.png: 0K 
/home/fulano/Descargas/es_mx.zip: 0K 
/home/fulano/Descargas/aletras.oxt: 0K 

/home/fulano/Descargas/test2.zip: ClamAV-Test-Signature FOUND 
/home/fulano/Descargas/test2.zip: Removed. 

/home/fulano/Descargas/amonedamx.oxt: 0K 

- SCAN SUMMARY - 

Known viruses: 3019169 

Engine version: 0.97.8 

Scanned directories: 1 

Scanned files: 9 

Infected files: 1 

Data scanned: 127.01 MB 

Data read: 190.76 MB (ratio 0.67:1) 

Time: 40.026 sec (0 m 40 s) 


Descargue nuevamente el archivo de pruebas test2.zip ejecutando lo siguiente: 


wget http://www.alcancelibre.org/linux/secrets/test2.zip \ 
-/Descargas 
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Si se desea que clamscan haga la revisión de un directorio pero que sólo se muestre la información de los 
archivos infectados, ejecute clamscan con laopción --infected. 


clamscan --infected \ 

-r -/Descargas 


La salida puede ser similar a la siguiente: 


/home/fulano/Descargas/test2.zip: ClamAV-Test-Signature FOUND 

- SCAN SUMMARY - 

Known viruses: 3019169 

Engine version: 0.97.8 

Scanned directories: 1 

Scanned files: 9 

Infected files: 1 

Data scanned: 127.01 MB 

Data read: 190.76 MB (ratio 0.67:1) 

Time: 40.026 sec (0 m 40 s) 


Para que clamscan guarde la información de su actividad en un archivo de bitácora en lugar de mostrar ésta en 
la salida estándar, utilice la opción -log especificando como argumento la ruta de un archivo para almacenar la 
bitácora de actividad. Ejemplo: 


clamscan - -log=/home/usuario/clamscan.log \ 

--infected \ 

--remove=yes \ 

-r -/Descargas 


53.4. Lecturas posteriores. 

Para configurar ClamAV para ser utilizado con un servidor de correo electrónico con Sendmail, consultar el 
documento titulado «Configuración de clamav-milter.» 
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54. Instalación y configuración de CUPS. 

Autor: Joel Barrios Duehas 

Correo electrónico: darkshram en gmail punto com 

Sitio de Red: http://www.alcancelibre.org/ 


Creative Commons Reconocimiento-NoComercial-Compartirlgual 2.1 


© 1999-2016 Joel Barrios Duenas. Usted es libre de copiar, distribuir y comunicar públicamente la obra y hacer obras derivadas bajo las condiciones siguientes: a) 
Debe reconocer y citar al autor original. b) No puede utilizar esta obra para fines comerciales. c) Si altera o transforma esta obra o genera una obra derivada, sólo 
puede distribuir la obra generada bajo una licencia idéntica a ésta. Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. 
Alguna de estas condiciones puede no aplicarse si se obtiene el permiso del titular de los derechos de autor. Los derechos derivados de usos legítimos u otras 
limitaciones no se ven afectados por lo anterior. La información contenida en este documento y los derivados de éste se proporcionan tal cual son y los autores no 
asumirán responsabilidad alguna si el usuario o lector hace mal uso de éstos. 


54.1. Introducción. 

54.1.1. Acerca de CUPS. 

CUPS (Common UNIX Printing System) es un sistema de impresión para GNU/Linux y otros sistemas 
operativos basados sobre el estándar POSIX, distribuido bajo los términos de la licencia GNU/GPLv2. 

Fue originalmente desarrollado en 1997 por Michael Sweet, dueno de Easy Software Products, utilizando en 
ese entonces el protocolo LPD (Line Printer Daemon protocol), el cual tenía muchas limitaciones técnicas e 
incompatibilidades entre las diversas marcas de impresoras, motivo por el cual se cambio por IPP (Internet 
Printing Protocol). En 2002 CUPS fue incluido por primera vez en Mac OS X, convirtiéndose en el sistema de 
impresión de facto utilizado hasta la fecha en ese sistema operativo. En febrero de 2007, Apple Inc. contrató 
como empleado a Michael Sweet, comprando además el código fuente de CUPS. 

CUPS se compone de una cola de impresión con un planificador, un sistema de filtros para convertir los datos a 
formatos que puedan utilizar las impresoras y un sistema que permite enviar estos datos hacia la impresora. 
Permite además utilizar cualquier equipo como servidor de impresión, a través del protocolo IPP, utilizando el 
puerto 631/TCP. 

Los controladores para CUPS utilizan el formato PPD (PostScript Printer Description), desarrollado por Adobe 
Systems y que consisten en archivos con extensión *.ppd (o bien *.ppd.gz cuando llevan compresión con el 
algoritmo GZIP), generalmente creados y mantenidos por los fabricantes de impresoras, los cuales contienen el 
código PostScript necesario para utilizar las características particulares de un modelo de impresora en 
particular. CUPS utiliza este formato para todas las impresoras, incluso las no-PostScript, utilizando filtros que 
redirigen salidas cuando el caso lo requiere. 

CUPS incluye además un conjunto de herramientas para el intérprete de mandatos que permiten la gestión de 
trabajos de impresión. 

54.2. Equipamiento lógico necesario. 

54.2.1. En CentOS y Red Hat Enterprise™ Linux. 

Si se realiza una instalación estándar de CentOS o Red Hat Enterprise Linux, CUPS viene incluido de modo 
predeterminado. Si se realiza una instalación mínima o bien si durante la instalación se excluyó el soporte para 
impresión, ejecute lo siguiente: 


yum -y install cups 


Si se quiere que CUPS disponga de una colección completa de controladores para impresoras, ejecute lo 
siguiente: 
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yum -y install foomatic-db-ppds gutenprint-cups printer-filters 

Si instala el paquete cups-pdf, dispondrá de una extensión que permitirá crear archivos PDF directamente 
desde CUPS. 

yum -y install cups-pdf 

Instale el paquete hpijs para anadir soporte para impresoras multi-funcionales Hewlett-Packard: 
yum -y install hpijs 

Instale los paquetes system-config-printer y cups-pk-helper para poder utilizar una herramienta de 
configuración y administración fácil de usar y que permita descargar automáticamente los controladores que 
sean necesarios a través de PackageKit: 

yum -y install system-config-printer cups-pk-helper 

Puede simplificar todo lo anterior ejecutando lo siguiente: 

yum -y groupinstall print-client print-server 


54.2.2. En openSUSE™ y SUSE™ Linux Enterprise. 

La instalación estándar de openSUSE™ y SUSE™ Linux Enterprise incluye cups y todo lo necesario para 
configurar la mayoría de las impresoras compatibles disponibles. De ser necesario, instale con yast los 
paquetes cups, cups-backends, cups-client, foomatic-filters, gutenprint y yast2-printer , ejecutando lo 
siguiente: 


yast -i cups cups-backends cups-client foomatic-filters \ 
gutenprint yast2-printer 


El soporte para impresoras multi-funcionales de Hewlett-Packard requiere instalar el paquete hplip-hpijs. 
Ejecute lo siguiente: 


yast -i hplip-hpijs 


Si utiliza openSUSE™ al igual que con las otras distribuciones GNU/Linux de vanguardia, instale los paquetes 
system-config-printer y cups-pk-helper para poder utilizar una herramienta de configuración y administración 
fácil de usar y que permita descargar automáticamente los controladores que sean necesarios a través de 

PackageKit: 


yast -i system-config-printer cups-pk-helper 


54.3. Iniciar servicio y anadir el servicio al arranque del sistema. 

CUPS es un servicio que sólo es necesario instalar e iniciar para poder ser utilizado. De modo predeterminado 
se habilita en todos los niveles de ejecución. 

54.3.1. En CentOS y Red Hat™ Enterprise Linux. 


477 









Joel Barrios Duenas 


Configuración de Servidores con GNU/Linux 


Ejecute lo siguiente para iniciar el servicio por primera vez: 
service cups start 

Ejecute lo siguiente para reiniciar el servicio: 
service cups restart 

Ejecute lo siguiente para detener el servicio: 
service cups stop 

54.3.2. En openSUSE™ y SUSE™ Linux Enterprise. 

Ejecute lo siguiente para iniciar el servicio por primera vez: 
rccups start 

Ejecute lo siguiente para reiniciar el servicio: 
rccups restart 

Ejecute lo siguiente para detener el servicio: 
rccups stop 

54.4. Modificaciones necesarias en el muro cortafuegos. 

Para servidores de impresión, es necesario abrir en el muro cortafuegos el puerto 631 por TCP y UDP (IPP). 

54.4.1. En CentOS y Red Hat Enterprise™ Linux. 

54.4.1.1. System-config-firewall. 

Ejecute lo siguiente si utiliza el muro cortafuegos predeterminado del sistema: 
system-config-firewall 

Habilite Cliente o Servidor de impresión en red (IPP) —según sea el caso— y aplique los cambios. 
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Herramienta system-config-firewall habilitando el puerto 631 por TCP y UDP. 


54.4.1.2. Servicio iptables. 

Ejecute lo siguiente: 


iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 631 -j ACCEPT 
iptables -A INPUT -m state --state NEW -m udp -p udp --dport 631 -j ACCEPT 


Ejecute lo siguiente para guardar los cambios: 


service iptables save 


O bien anada lo siguiente al archivo /etc/sysconfig/iptables: 

-A INPUT -m state --state NEW -m tcp -p tcp --dport 631 -j ACCEPT 
-A INPUT -m state --state NEW -m udp -p udp --dport 631 -j ACCEPT 

Reinicie el servicio: 


service iptables restart 

Para los clientes del servidor de impresión sólo es necesario abrir en el muro cortafuegos el puerto 631 por 

UDP (IPP). 

Ejecute lo siguiente: 

iptables -A INPUT -m state --state NEW -m udp -p udp --dport 631 -j ACCEPT 

Ejecute lo siguiente para guardar los cambios: 

service iptables save 
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O bien aíïada lo siguiente al archivo /etc/sysconfig/iptables: 


-A INPUT -m state --state NEW -m udp -p udp --dport 631 -j ACCEPT 


Reinicie el servicio: 


service iptables restart 


54.4.1.3. Shorewall. 

Las reglas para el archivo /etc/shorewall/rules para un servidor de impresión corresponderían a lo siguiente: 


#ACTI0N 

SOURCE 

DEST 

PROTO 

DEST 

SOURCE 

# 




PORT 

PORT(S)1 

ACCEPT 

all 

fw 

tcp 

631 


ACCEPT 

all 

fw 

udp 

631 



Las reglas para el archivo /etc/shorewall/rules para un cliente de impresión corresponderían a lo siguiente: 


#ACTION SOURCE DEST PROTO DEST SOURCE 

# PORT PORT(S)1 

ACCEPT all fW udp 631 


Ejecute lo siguiente para aplicar los cambios: 


service shorewall restart 


54.4.2. En openSUSE™ y SUSE™ Linux Enterprise. 

Ejecute yast o yast2 con firewall como argumento: 

yast firewall 

Habilite cups en la sección de Servicios Autorizados. 
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Módulo de cortafuegos de YaST, en modo gráfico, habilitando cups. 



Módulo de cortafuegos de YaST, en modo texto, habilitando cups. 
O bien abra el puerto 631 por TCP y UDP y aplique los cambios. 
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Módulo de cortafuegos de YaST, en modo gráfico, habilitando el puerto 631 por TCP y UDP. 



Módulo de cortafuegos de YaST, en modo texto, habilitando el puerto 631 por TCP y UDP. 


54.5. Archivos y directorios de configuración. 

• /etc/cups/cupsd.conf se utiliza para configurar las directivas y el control de acceso del servicio. 

• /etc/cups/printers.conf se utiliza para guardar la configuración de las colas de impresión. 

• /etc/cups/lpoptions se utiliza para guardar las opciones de configuración específicas para cada 
cola de impresión. 

• /etc/cups/ppd/ corresponde al directorio donde se guardan los archivos *.ppd correspondientes a 
cada cola de impresión. 

• /var/spool/cups/ corresponde al directorio utilizado para la cola de procesamiento de impresión. 
Aquí se encuentran todos los trabajos de impresión. 
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54.6. Archivos de bitácoras. 

• /var/log/cups/accessjog se utiliza para almacenar la bitácora de actividad del servicio. 

• /var/log/cups/errorjog se utiliza para almacenar la bitácora de errores del servicio. Cuando hay 
problemas con la configuración o el funcionamiento del servicio, este es el archivo indicado para 
buscar la información necesaria para hacer diagnósticos. 

• /var/log/cups/pagejog se utiliza para almacenar la bitácora de trabajos de impresión. 

54.7. Permitir conexiones desde anfitriones remotos. 

De modo predeterminado cups sólo permite conexiones desde el anfitrión local. Se deben hacer algunas 
modificaciones en la configuración para compartir las impresoras con el resto de los sistemas de la red de área 
local. 

54.7.1. En CentOS o Red Hat Enterprise™ Linux. 

La herramienta recomendada es system-config-printer, sólo disponible desde modo gráfico. Habilite lo 
siguiente desde Servidor — Configuración — Opciones del Servidor. 

• Mostrar impresoras compartidas con otros sistemas 

• Publicar impresoras compartidas conectadas a este sistema 

• Permitir la impresión desde Internet. 
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Opciones de Servidor de system-config-printer. 

Al terminar haga clic en el botón Aceptar para que surtan efecto los cambios. 

54.7.2. En openSUSE™ o SUSE™ Linux Enterprise. 

La herramienta recomendada es el módulo Impresora de YaST, disponible desde modo gráfico y modo terminal. 
Habilite lo siguiente desde el menú Equipo -» Sistema -» Yasf — Impresora - Compartir impresoras'. 

• Permitir acceso remoto 

• Para equipos en la red local 

• Publicar las impresoras por defecto en la red local 
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Módulo de Impresoras de YaST en modo gráfico. 

Haga clic en el botón Aceptar para que surtan efecto los cambios. 

También puede utilizar el módulo printer de YaST en modo texto. Ejecute lo siguiente como root: 

yast printer 

Habilite lo siguiente desde Share Printers : 

• Allovv remote access 

• For computers vvithin local network 

• Publish printers by default within the local network 
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Módulo de Impresoras de YaST en modo terminal. 

Aplique los cambios seleccionado O/c, pulse la tecla (ENTER), espere unos segundos para que apliquen los 
cambios y salga del módulo seleccionado Ok y pulse la tecla «^ (ENTER). 

54.7.3. Modo terminal. 

Si utiliza CentOS 0 Red Hat Enterprise™ Linux detenga el servicio ejecutando lo siguiente: 


service cups stop 


Si utiliza openSUSE™ o SUSE™ Linux Enterprise detenga el servicio ejecutando lo siguiente: 

rccups stop 


Edite el archivo /etc/cups/cupsd.conf: 

vim /etc/cups/cupsd.conf 


Localice Listen localhost:631: 


# Only listen for connections from the local machine. 

Listen localhost:631 


Deshabilite la opción al inicio de la línea y afíada debajo Port 631: 


# Only listen for connections from the local machine. 

# Listen localhost:631 

# Permitir acceso remoto 

Port 631 
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Localice lo siguiente: 


# Show shared printers on the local network. 
Browsing On 

BrowseOrder allow,deny 
BrowseAllow all 

BrowseLocalProtocols CUPS dnssd 


Afiada la opción BrowseRemoteProtocols con el valor CUPS y la opción BrowseAddress con el valor 
@LOCAL para habilitar la función de compartir impresoras y el acceso a las impresoras remotas: 


# Show shared printers on the local network. 
Browsing On 

BrowseOrder allow,deny 
BrowseAllow all 

BrowseRemoteProtocols CUPS 
BrowseAddress @LOCAL 

BrowseLocalProtocols CUPS dnssd 


Localice lo siguiente: 


<Location /> 

Order allow,deny 
</Location> 


Anada Allow all justo debajo de Order allow,deny: 


<Location /> 

Order allow,deny 

Allow all 

</Location> 


Guarde el archivo. 

Si utiliza CentOS o Red Hat Enterprise™ Linux inicie de nuevo el servicio ejecutando lo siguiente: 
service cups start 


Si utiliza openSUSE™ o SUSE™ Linux Enterprise, inicie de nuevo el servicio ejecutando lo siguiente: 


rccups start 


54.8. Anadir o modificar impresoras. 

En la mayoría de las distribuciones modernas y siempre y cuando se trate de un dispositivo compatible, que 
esté soportado por CUPS y que además disponga de un controlador instalado en el sistema, la configuración 
de las impresoras es automática. Sólo se requiere apagar y encender de nuevo la impresora o desconectar y 
conectar de nuevo ésta para que CUPS la detecte y pueda configurar ésta de manera automática. 

En el caso que sea necesario, CUPS dispone de una interfaz de administración, basada sobre HTTP — 
disponible inmediatamente después de iniciar el servicio— a través de http://localhost:631/admin. Esta 
interfaz incluye un asistente de configuración para encontrar y ahadir nuevas impresoras o bien administrar las 
existentes. 
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En distribuciones como CentOS y Red Hat Enterprise Linux, esta interfaz HTTP sólo requiere utilizar la 
cuenta y clave de acceso del usuario root del anfitrión local y sólo está disponible conectándose desde el 
anfitrión local. 

En distribuciones como openSUSE y SUSE Linux Enterprise, se requiere ejecutar Ippassvvd para anadir un 
usuario virtual (se recomienda se denomine cupsadmin) perteneciente al grupo sys, a fin de poder hacer uso 
de la interfaz HTTP. 

lppasswd -a -g sys cupsadmin 


Siempre que ejecute Ippassvvd se almacenarán éste y otros usuarios virtuales en el archivo 

/etc/cups/passwd.md5. 
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■ Gjarda' ir.Vmtoón de depuracón pa'a búSQuoda <J« prob'«mas 


Subscripciones RSS 

as-s 


Interfaz de administración de CUPS. 

Para obtener una lista de los modelos de impresoras soportados por CUPS y cuyos controladores estén 
instalados en el sistema dentro del directorio /usr/share/cups/model, ejecute Ipinfo con la opción -m: 

lpinfo -m 

Ejecute Ipadmin del siguiente modo para anadir o modificar una impresora desde el intérprete de mandatos: 
lpadmin -p Nombre -E -v URI://ruta/nombre -m ppd-impresora 


Donde: 

• -p se utiliza para definir el nombre que utilizará CUPS para la impresora que se está anadiendo o 
modificando. 

• -E define que la cola de impresión está habilitada y que estará compartida con otros anfitriones 
de la red de área local. Equivale a ejecutar cupsaccept y cupsenable con el nombre de la cola 
de impresión como argumento. 

• -v se utiliza para definir el URI (Uniform Resource Identifier o identificador uniforme de recurso) 
que corresponda a la cola de impresión. 
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• -m se utiliza para definir el archivo *.ppd a utilizar, de acuerdo a la nomenclatura de la lista 
mostrada por Ipinfo -m. 

En lugar de la opción -m, puede utilizarse la opción -P (mayúscula) para definir archivos *.ppd específicos que 
hayan sido descargados desde OpenPrinting (antes LinuxPrinting.org). 


lpadmin -p Nombre -E -v URI://ruta/nombre -P archivo.ppd 


Los URI permitidos por CUPS para dispositivos locales son: hp, hpfax, scsi y usb. 

Los URI permitidos por CUPS para impresoras en red son: beh, http, https, ipp, Ipd, smb y socket. 

La configuración de las impresoras se guardará en el archivo /etc/cups/printers.conf. Si se requiere hacer 
modificaciones manuales, este archivo puede modificarse con editor de texto sólo cuando el servicio está 
detenido, pues de otro modo se perderán los cambios realizados con editor de texto. 

Los archivos *.ppd que se definan con la interfaz HTTP de CUPS, la herramienta system-config-printer —o 
bien Ipadmin — se copiarán automáticamente dentro del directorio /etc/cups/ppd/. 

En el siguiente ejemplo, se anade y/o modifica la configuración para una impresora EPSON EPL-5900, 
conectada al anfitrión local por USB, utilizando la nomenclatura del archivo *.ppd, mostrada por Ipinfo con la 
opción -m y que corresponde al controlador recomendado para este modelo específico de impresora: 


lpadmin -p EPL-5900 -E \ 

-v usb://EPSON/EPL-5900 \ 

-m foomatic:Epson-EPL-5900-eplaser.ppd 


En el siguiente ejemplo, se ahade y/o modifica la configuración para la misma impresora, conectada al anfitrión 
local por USB, utilizando el archivo epl5900.ppd, descargado desde OpenPrinting: 


lpadmin -p EPL-5900 -E \ 

-v usb://EPSON/EPL-5900 \ 
-P ~/Descargas/epl5900.ppd 


En el siguiente ejemplo, se anade y/o modifica la configuración para la misma impresora, pero conectada en el 
servidor IPP con dirección IP 192.168.70.2: 


lpadmin -p EPL-5900 -E \ 

-v ipp://192.168.70.2/printers/EPL-5900 \ 
-m foomatic:Epson-EPL-5900-eplaser.ppd 


En el siguiente ejemplo, se anade y/o modifica la configuración para la misma impresora, pero conectada en el 
servidor SMB (o bien compartida desde un anfitrión Windows) con dirección IP 192.168.70.2, accediendo como 
usuario invitado: 


lpadmin -p EPL-5900 -E \ 

-v smb://servidor/printers/EPL-5900 \ 
-m foomatic:Epson-EPL-5900-eplaser.ppd 


En el siguiente ejemplo, se anade y/o modifica la misma configuración para la misma impresora, pero 
accediendo con el usuario fulano con clave de acceso 123qwe: 


489 








Joel Barrios Duenas 


Configuración de Servidores con GNU/Linux 


lpadmin -p EPL-5900 -E \ 

-v smb://fulano:123qwe§servidor/printers/EPL-5900 \ 
-m foomatic:Epson-EPL-5900-eplaser.ppd 


En el caso de haber más de una impresora configurada en CUPS, puede establecerse la impresora 
predeterminada del sistema ejecutando Ipadmin con la opción -d y el nombre de la cola de impresión como 
argumento, como se muestra en el siguiente ejemplo: 


lpadmin -d EPL-5900 


Para eliminar una impresora de CUPS, ejecute Ipadmin con la opción -x, usando como argumento el nombre 
de la cola de impresión a eliminar. 


lpadmin -x EPL-5900 


54.8.1. Configuración de opciones de impresión. 

Las opciones definidas con Ipoptions se guardan en el archivo /etc/cups/lpoptions. Cabe senalar que 
Ipoptions también puede ser utilizado por usuarios regulares, pero las opciones definidas por éstos se 
guardarán en el archivo ~/.cups/lpoptions (CentOS o Red Hat™ Enterprise Linux) o -/.Ipoptions 
(openSUSE™ y SUSE™ Linux Enterprise) del usuario utilizado. 


Las opciones disponibles para cada modelo de impresora pueden consultarse y verificarse ejecutando 
Ipoptions con la opción -I. 


lpoptions -p EPL-5900 -1 


En el caso de la impresora EPSON EPL-5900, lo anterior mostrará una salida similar a la siguiente: 


PageSize/Page Size: Custom.WIDTHxHEIGHT *Letter A4 A5 B5 EnvlD EnvC5 EnvDL EnvIS0B5 EnvMonarch 
Executive Legal 

InputSlot/Paper Source: Trayl Tray2 Tray3 Tray4 Tray5 Tray6 Tray7 Tray8 Tray9 TraylO Trayll Trayl2 
Trayl3 Trayl4 Trayl5 *Auto 

Resolution/Resolution: 300x300dpi *600x600dpi 1200xl200dpi 

Copies/Number of Copies: *1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 
29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 
63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 
97 98 99 100 Custom.INTEGER 
MediaType/Media Type: *PLain Thick Trans 

DupLex/Double-Sided Printing: DupLexNoTumbLe DupLexTumbLe *None 

ManuaL/ManuaL Feed of Paper: True *FaLse 

TonerSaving/Economy Mode: True *FaLse 

CoLLate/Output Order: True *FaTse 

Landscape/Orientation: True *FaTse 

RITOff/RIT ControL: True *FaLse 


La salida se interpreta de la siguiente forma, donde los valores predeterminados se muestran junto con un 
asterisco: 


NombreOpción/Descripción de la opción: valores *predeterminado 


El valor predeterminado para el tamano del papel, en la mayoría de los controladores, es A4. En el siguiente 
ejemplo se establecerá que de modo predeterminado se utilicé tarnano carta para el tarnano del papel, en lugar 
del valor predeterminado del archivo *.ppd correspondiente, ejecutando Ipoptions del siguiente modo: 


lpoptions -p EPL-5900 -o PageSize=Letter 
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En el siguiente ejemplo se establecerá que, de modo predeterminado, esta impresora utilice tamano carta para 
el tamano del papel, pero moditicando del valor predeterminado del archivo *.ppd correspondiente, el cual está 
dentro del directorio /etc/cups/ppd/, ejecutando Ipadmin del siguiente modo: 

lpadmin -p EPL-5900 -o PageSize=Letter 

En el siguiente ejemplo se establecerá que de modo predeterminado se utilice tamano oficio para el tamano del 
papel, en lugar del valor predeterminado del archivo *.ppd correspondiente, ejecutando Ipoptions del siguiente 
modo: 

lpoptions -p EPL-5900 -o PageSize=Legal 

En el siguiente ejemplo se establecerá 300x300dpi como valor predeterminado para la resolución de las 
impresiones: 

lpoptions -p EPL-5900 -o Resolution=300x300dpi 

54.9. Impresión desde el intérprete de mandatos. 

El estilo System V, que es el método preferido, utiliza Ip con la opción -d y el nombre de la cola de impresión 
como argumento. 

lp -d NombreCola archivo.ps 

Para hacer la impresión de archivos locales en una impresora remota ejecutando Ip, se ejecuta lo anterior con 
la opción -h y el nombre o dirección IP del servidor como argumento. 

lp -d NombreCola -h 192.168.70.2 archivo.ps 

Además Ip permite especificar opciones de impresión cuando el caso lo requiera. En el siguiente ejemplo se 
realiza la impresión de un archivo en una impresora local, definiendo tamano oficio para el tamano del papel: 

lp -d NombreCola -o PageSize=Legal archivo.ps 

El estilo Berkely , que es el método antiguo, utiliza Ipr con la opción -P (mayúscula) y el nombre de la cola de 
impresión como argumento: 

lpr -P NombreCola archivo.ps 

Para hacer la impresión de archivos locales en una impresora remota ejecutando Ipr, se ejecuta lo anterior con 
la opción -H (mayúscula) y el nombre o dirección IP del servidor como argumento: 

lpr -P NombreCola -H 192.168.70.2 archivo.ps 

También Ipr permite especificar opciones de impresión cuando el caso lo requiera. En el siguiente ejemplo se 
realiza la impresión de un archivo en una impresora local, definiendo tamano oficio para el tamano del papel: 

lpr -P NombreCola -o PageSize=Legal archivo.ps 

54.10. Verificar estados de las colas de impresión. 
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Para mostrar el estado de todas las colas de impresión del sistema, utilizando el estilo System V, ejecute Ipstat 
con la opción -p: 


lpstat -p 


Para mostrar el estado de una impresora en particular, ejecute Ipstat con la opción -p con el nombre de la cola 
de impresión como argumento: 


lpstat -p NombreCola 


Para mostrar el estado de una impresora en particular en un servidor remoto (por ejemplo 192.168.70.2), 
ejecute Ipstat con la opción -p con el nombre de la cola de impresión como argumento y la opción -h con el 
nombre del servidor o la dirección IP correspondiente como argumento: 


lpstat -p NombreCola -h 192.168.70.2 


Para mostrar el estado de todos los trabajos de impresión pendientes en todas las colas de impresión del 
sistema, ejecute Ipstat con la opción -o: 


lpstat -o 


Para mostrar el estado de todos los trabajos de impresión pendientes en una impresora en particular, ejecute 
Ipstat con la opción -o con el nombre de la cola de impresión como argumento: 


lpstat -o NombreCola 


Para mostrar el estado de una impresora en particular, así como también el estado de todos los trabajos de 
impresión pendientes en ésta, ejecute Ipstat con la opción -p con el nombre de la cola de impresión como 
argumento y la opción -o con el nombre de la cola de impresión como argumento. 


lpstat -p NombreCola -o NombreCola 


Si se desea información más detallada, ejecute Ipstat con la opción -t: 


lpstat -t 


Si se desea el máximo de información disponible, ejecute Ipstat con la opción -t y la opción -I: 


lpstat -t -1 


Para mostrar el estado de todas las colas de impresión del sistema y los trabajos pendientes, utilizando el estilo 
Berkeley , ejecute Ipq: 


lpq 


Para mostrar el estado de una impresora en particular, ejecute Ipq con la opción -P (mayúscula) con el nombre 
de la cola de impresión como argumento: 


lpq -PNombreCola 
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Para mostrar el estado de todos los trabajos de impresión pendientes en todas las colas de impresión del 
sistema, ejecute Ipq con la opción -a: 

lpq -a 

54.10.1. Cancelación de trabajos de impresión. 

El estilo System V utiliza cancel con el nombre de la cola de impresión y el número de trabajo como 
argumentos. 

cancel NombreCola-número 

En el siguiente ejemplo se cancela el trabajo de impresión 5 en la cola de impresión EPL-5900: 

cancel EPL-5900-5 

Para eliminar un trabajo de impresión en un servidor remoto, a lo anterior se le anade la opción -h con el 
nombre o dirección IP que corresponda como argumento. 

cancel -h servidor NombreCola-número 

En el siguiente ejemplo se cancela el trabajo de impresión 5 en la cola de impresión EPL-5900 en el servidor 
192.168.70.2: 

cancel -h 192.168.70.2 EPL-5900-5 

El estilo Berkeley utiliza Iprm, la opción -P (mayúscula), seguida inmediatamente del nombre de la cola de 
impresión como argumento y el número del trabajo de impresión que se quiere cancelar: 

lprm -PNombreCola Número 

En el siguiente ejemplo se cancela el trabajo de impresión 5 en la cola de impresión EPL-5900: 

lprm -PEPL-5900 5 

Para eliminar un trabajo de impresión en un servidor remoto, a lo anterior se le anade la opción -h con el 
nombre o dirección IP que corresponda como argumento. 

lprm -h servidor -PNombreCola Número 

En el siguiente ejemplo se cancela el trabajo de impresión 5 en la cola de impresión EPL-5900 en el servidor 
192.168.70.2: 

lprm -h 192.168.70.2 -PEPL-5900 5 
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55.1. Equipamiento lógico necesario. 

Para poder comenzar a estudiar los conceptos básicos del protocolo DNS, es necesario instalar algunas 
herramientas que serán utilizadas para realizar demostraciones. 

Instale los paquetes bind-utils y whois. 


yum -y install bind-utils whois 


El paquete bind-utils incluye las herramientas dig y host, que son utilizadas para realizar distintos tipos de 
consultas de DNS. El paquete whois es la herramienta de consulta para información pública de dominios y 
direcciones IP. 

55.2. Conceptos. 

55.2.1. Acerca del protocolo DNS (Domain Name System). 

DNS (acrónimo de Domain Name System) es una base de datos distribuida y jerárquica, que almacena la 
información necesaria para los nombres de dominio. Sus usos principales son la asignación de nombres de 
dominio a direcciones IP y la localización de los servidores de correo electrónico correspondientes para cada 
dominio. El DNS nació de la necesidad de facilitar a los seres humanos el acceso hacia los servidores 
disponibles a través de Internet permitiendo hacerlo por un nombre, algo más fácil de recordar que una 
dirección IP. 

Los Servidores DNS utilizan TCP y UDP, en el puerto 53 para responder las consultas. Casi todas las 
consultas consisten de una sola solicitud UDP desde un Cliente DNS, seguida por una sola respuesta UDP del 
servidor. Se realiza una conexión TCP cuando el tamano de los datos de la respuesta exceden los 512 bytes, 
tal como ocurre con tareas como transferencia de zonas. 

55.2.2. tQué es un NIC (Network Information Center)? 

NIC (acrónimo de Network Information Center o Centro de Información sobre la Red) es una institución 
encargada de asignar los nombres de dominio en Internet ya sean nombres de dominio genéricos o por países, 
permitiendo personas o empresas, montar sitios de Internet a través de un ISP, mediante un DNS. 
Técnicamente existe un NIC por cada país en el mundo y cada uno de éstos es responsable por todos los 
dominios con la terminación correspondiente a su país. Por ejemplo: NIC México es la entidad encargada de 
gestionar todos los dominios con terminación .mx, la cual es la terminación correspondiente asignada a los 
dominios de México. 

La información publicada por los NIC es consultada con la herramienta whois. 
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55.2.3. cQué es un FQDN (Fully Qualified Domain Name)? 

FQDN (acrónimo de Fully Qualified Domain Name o Nombre de Dominio Plenamente Calificado) es un Nombre 
de Dominio ambiguo que especifica la posición absoluta del nodo en el árbol jerárquico del DNS. Se distingue 
de un nombre regular porque lleva un punto al final. 

Como ejemplo: suponiendo que se tiene un dispositivo cuyo nombre de anfitrión es «maquinal» y un dominio 
llamado «dominio.com», el FQDN sería «maquinal.dominio.com.», así es que se define de forma única al 
dispositivo mientras que pudieran existir muchos anfitriones llamados «maquinal», solamente puede haber uno 
llamado «maquinal.dominio.com.». La ausencia del punto al final definiría que se pudiera tratar solamente de 
un prefijo, es decir «maquinal.dominio.com» pudiera ser un dominio de otro más largo como 
«maquinal.dominio.com. mx». 

La longitud máxima de un FQDN es de 255 bytes, con una restricción adicional de 63 bytes para cada etiqueta 
dentro del nombre del dominio. Solamente se permiten los caracteres A-Z de ASCII, dígitos y el carácter «-» 
(guión medio). Sin distinción de mayúsculas y minúsculas. 

Desde 2004, a solicitud de varios países de Europa, existe el estándar IDN (acrónimo de Internationalized 
Domain Name) que permite caracteres no-ASCII, codificando caracteres Unicode dentro de cadenas de bytes 
dentro del conjunto normal de caracteres de FQDN. Como resultado, los limites de longitud de los nombres de 
dominio IDN dependen directamente del contenido mismo del nombre. 

Para resumir: un FQDN es un nombre de anfitrión único con un punto al final. 

55.2.4. Componentes de DNS. 

El protocolo DNS opera a través de tres componentes: Clientes DNS, Servidores DNS y Zonas de Autoridad. 

55.2.4.1. Clientes DNS. 

Son todos aquellos programas que ejecuta un usuario y que generan peticiones de consulta para resolver 
nombres y direcciones IP. Básicamente preguntan por la dirección IP que corresponde a un nombre 
determinado. Prácticamente todas las aplicaciones que requieren definir un nombre de anfitrión entre sus 
argumentos se consideran clientes DNS. 

Por ejemplo: un cliente SSH —aún siendo cliente de otro protocolo— realiza una consulta de DNS para 
determinar la dirección IP de un servidor al cual se va a conectar. 

55.2.4.2. Servidores DNS. 

Son servicios que contestan las consultas realizadas por los Clientes DNS. Hay dos tipos de servidores de 
nombres: 

• Servidor Maestro: También denominado Primario. Obtiene ios datos del dominio a partir de un archivo alojado en el 
mismo servidor. 

• Servidor Esclavo: También denominado Secundario. Al iniciar obtiene los datos del dominio a través de un 
Servidor Maestro (o primario), realizando un proceso denominado transferencia de zona. 

55.2.4.3. òCuántos servidores DNS debe haber para resolver un dominio? 

Un gran número de problemas de operación de servidores DNS se atribuyen a las pobres opciones de 
servidores secundarios para las zona de DNS. De acuerdo al RFC 2182, el DNS requiere que al menos tres 
servidores existan para todos los dominios delegados (o zonas). 
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Una de las principales razones para tener al menos tres servidores para cada zona, es permitir que la 
información de la zona misma esté disponible siempre y de forma confiable, hacia los Clientes DNS, a través 
de Internet cuando un servidor DNS de dicha zona falle, esté fuera de servicio y/o esté inalcanzable. 

Contar con múltiples servidores también facilita la propagación de la zona y mejoran la eficiencia del sistema 
en general al brindar opciones a los Clientes DNS si acaso encontraran dificultades para realizar una consulta 
en un Servidor DNS. En otras palabras: tener múltiples servidores para una zona permite contar con 
redundanciay respaldo, del servicio. 

Con múltiples servidores, por lo general uno actúa como Servidor Maestro o Primario y los demás como 
Servidores Esclavos o Secundarios. Correctamente configurados y una vez creados los datos para una 
zona, es innecesario copiarlos a cada Servidor Esclavo o Secundario, pues éste se encargará de transferir 
los datos de manera automática cada vez que sea necesario. 

55.2.5. Tipos de consultas hacia un servidor DNS. 

Los Servidores DNS responden dos tipos de consultas: 

• Consultas Iterativas (no recursivas): El cliente hace una consulta al Servidor DNS y éste le responde con la mejor 
respuesta que pueda darse basada sobre su caché o en las zonas locales. Si es imposible dar una respuesta, la 
consulta se reenvía hacia otro Servidor DNS repitiéndose este proceso hasta encontrar al Servidor DNS que tiene 
la Zona de Autoridad capaz de resolver la consulta. 

• Consultas Recursivas: El Servidor DNS asume toda la carga de proporcionar una respuesta completa para la 
consulta realizada por el Cliente DNS. El Servidor DNS desarrolla entonces Consultas Iterativas separadas hacia 
otros Servidores DNS (en lugar de hacerlo el Cliente DNS) para obtener la respuesta solicitada. 


55.2.6. Zonas de Autoridad. 

Éstas permiten al Servidor Maestro o Primario cargar la información de una zona. Cada Zona de Autoridad 
abarca al menos un dominio y —posiblemente— sus sub-dominios, cuando estos últimos son imposibles de 
delegar a otras zonas de autoridad. 


Las zonas de autoridad se crean en archivos de texto simple o registros de una base de datos. Deben incluir el 
tiempo total de vida (TTL) predeterminado, la información del servidor DNS principal y los registros que 
componen lazona. El contenido mínimo de éstos archivos debe ser el siguiente: 


$TTL 3600 

@ IN SOA dnsl.dominio.com. usuario.gmail.com. ( 

2016091901; número de serie. Se recomienda sea en formato de fecha. 
7200; tiempo de refresco del registro SOA. 

900; tiempo a esperar entre un intento de consulta fallido y otro. 
1209600; caducidad del registro SOA en otros servidores DNS. 

3600; tiempo total de vida del registro SOA en otros servidores DNS. 
) 

@ IN NS NS dns.dominio.com. 


Acontinuación se explican los registros usado arribay el resto de los tipos de registro que se pueden utilizar. 

55.2.6.1. Tipos de registros en la zonas de autoridad. 

La información de cada Zona de Autoridad es almacenada de forma local en un archivo en el Servidor DNS. 
Este archivo puede incluir varios tipos de registros: 
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Tipo de Registro. 

A (Address) 

AAAA 

CNAME (Canonical Name) 
MX (Mail Exchanger) 

PTR (Pointer) 

NS (Name Server) 

SOA (Start of Authority) 

SRV (Service) 

TXT (Text) 


Descripción. 

Registro de dirección que resuelve un nombre de un anfitrión hacia una dirección IPv4 de 32 
bits. 

Registro de dirección que resuelve un nombre de un anfitrión hacia una dirección IPv6 de 128 
bits. 

Registro de nombre canónico que hace que un nombre sea alias de otro. Los dominios con 
alias obtienen los sub-dominios y registros DNS del dominio original. 

Registro de servidor de correo que sirve para definir una lista de servidores de correo para un 
dominio, así como la prioridad entre éstos. 

Registro de apuntador que resuelve direcciones IPv4 hacia los nombres anfitriones. Es decir, 
hace lo contrario al registro A. Se utiliza en zonas de Resolución Inversa. 

Registro de servidor de nombres, que sirve para definir una lista de servidores de nombres con 
autoridad para un dominio. 

Registro de inicio de autoridad, encargado de especificar el Servidor DNS Maestro (o Primario) 
que proporcionará la información con autoridad acerca de un dominio de Internet, dirección de 
correo electrónico del administrador, número de serie dei dominio y parámetros de tiempo para 
la zona. 

Registros de servicios, encargados de especificar información acerca de servicios disponibles 
através del dominio. Protocolos como SIP (Session Initiation Protocoi) y XMPP (Extensible 
Messaging and Presence Protocol) suelen requerir registros SRV en la zona para proporcionar 
información a los clientes. 

Registros de texto, encargados de permitir al administrador insertar texto arbitrariamente en un 
registro DNS. Este tipo de registro es muy utilizado por los servidores de listas negras DNSBL 
(DNS-based Blackhole List) para la filtración de Spam. Otro ejemplo de uso sería el caso de 
las VPN, donde suele requerirse un registro TXT, para definir una firma digital que será 
utilizada por los clientes. 


55.2.7. Tipos de zonas de autoridad. 

Las zonas que se pueden resolver son: 

Zonas de Reenvío. 

Devuelven direcciones IP para las búsquedas hechas para nombres FQDN (Fully Qualified Domain 
Name). 

En el caso de dominios públicos, la responsabilidad de que exista una Zona de Autoridad para cada 
Zona de Reenvío, corresponde a la autoridad misma del dominio, es decir quien esté registrado como 
autoridad del dominio la base de datos WHOIS donde esté registrado el dominio. Quienes adquieren 
dominios através de un NIC (por ejemplo: www.nic.mx), son quienes deben hacerse cargo de las Zonas 
de Reenvío ya sea a través de su propio Servidor DNS o bien a través de los Servidores DNS de su 
ISP. 


Salvo que se trate de un dominio para uso en una red local, todo dominio debe ser primero tramitado con 
un NIC, como requisito para tener derecho legal a utilizarlo y poder propagarlo a través de Internet. 

Zonas de Resolución Inversa. 

Devuelven nombres FQDN (Fully Qualified Domain Name) para las búsquedas hechas para direcciones 

IP. 

En el caso de segmentos de red públicos, la responsabilidad de que exista una Zona de Autoridad para 
cada Zona de Resolución Inversa, corresponde a la autoridad misma del segmento, es decir, 
corresponde a quien esté registrado como autoridad del bloque de direcciones IP, información que puede 
ser obtenida al consultar una base de datos WHOIS. 

Los grandes ISP y algunas empresas son quienes se hacen cargo de las Zonas de Resolución Inversa. 

55.2.8. Herramientas de búsqueda y consulta. 
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55.2.8.1. Uso de host. 

Host es una herramienta simple para hacer consultas en Servidores DNS. Es utilizado para obtener las 
direcciones IP de los nombres de anfitrión y viceversa. 

De modo predeterminado, realiza las consultas en los Servidores DNS que estén definidos en el archivo 
/etc/resolv.conf del anfitrión local, pudiendo definirse de manera opcional cualquier otro Servidor DNS. 


host www.alcancelibre.org 


Lo anterior realiza una búsqueda en los Servidores DNS definidos en el archivo /etc/resolv.conf del sistema, 
devolviendo como resultado una dirección IP. 


host www.alcancelibre.org 8.8.8.8 


Lo anterior realiza una búsqueda en los Servidor DNS en la dirección IP 8.8.8.8, devolviendo una dirección IP 
como resultado. 

55.2.8.2. Uso de dig. 

Dig (domain information groper) es una herramienta flexible para realizar consultas en Servidores DNS. 
Realiza búsquedas y muestra las respuestas que son regresadas por los servidores que fueron consultados. 
Debido a su flexibilidad y claridad en la salida, es que la mayoría de los administradores utilizan dig para 
diagnosticar problemas de DNS. 

De modo predeterminado, realiza las búsquedas en los Servidores DNS definidos en el archivo 
/etc/resolv.conf , pudiendo definirse de manera opcional cualquier otro Servidor DNS. La sintaxis básica sería: 


dig iservidor dominio.tld TIPO 


Donde servidor corresponde al nombre o dirección IP del Servidor DNS a consultar, dominio.tld corresponde 
al nombre del registro del recurso que se está buscando y TIPO corresponde al tipo de consulta requerido 
(ANY, A, MX, SOA, NS, etc.) 

Ejemplo: 


dig §8.8.8.8 alcancelibre.org MX 


Lo anterior realiza una búsqueda en el Servidor DNS en la dirección IP 8.8.8.8 para los registros MX para el 
dominio alcancelibre.org. 


dig alcancelibre.org NS 


Lo anterior realiza una búsqueda en los Servidores DNS definidos en el archivo /etc/resolv.conf del sistema 
para los registros NS para ei dominio alcancelibre.org. 


dig @8.8.8.8 alcancelibre.org NS 


Lo anterior realiza una búsqueda en los Servidor DNS en la dirección IP 8.8.8.8 para los registros NS para el 
dominio alcancelibre.org. 
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55.2.8.3. Uso de vvhois. 

Es una herramienta de consulta a través de servidores VVHOIS. La sintaxis básica es: 
whois dominio.tld 

Ejemplo: 

whois alcancelibre.org 

Lo anterior regresa la información correspondiente al dominio alcancelibre.org. 

55.3. Modificaciones necesarias en el muro cortafuegos. 

Es necesario abrir en el muro cortafuegos el puerto 53 (dns), tanto por TCP como UDP. 

55.3.1. System-config-firevvall. 

Ejecute lo siguiente: 

system-config-firewall 
Y habilite DNS y aplique los cambios. 



Herramienta system-config-firevvall habilitando el puerto 53 por TCP y UDP. 

55.3.2. Servicio iptables. 

Ejecute lo siguiente: 


499 









Joel Barrios Duenas 


Configuración de Servidores con GNU/Linux 


iptables -A INPUT 

-m state 

--state NEW -m tcp 

-P 

tcp 

- -dport 

53 

-j ACCEPT 

iptables -A INPUT 

-m state 

--state NEW -m udp 

-P 

udp 

- -dport 

53 

-j ACCEPT 


Ejecute lo siguiente para guardar los cambios: 
service iptables save 

O bien edite el archivo /etc/sysconfig/iptables: 

vim /etc/sysconfig/iptables 
Y anada el siguiente contenido: 


-A 

INPUT 

-m state 

--state 

NEW 

-m tcp 

-P 

tcp 

- -dport 

53 

-j ACCEPT 

-A 

INPUT 

-m state 

--state 

NEW 

-m udp 

-P 

udp 

- -dport 

53 

-j ACCEPT 


Para aplicar los cambios, reinicie el servicio iptables: 
service iptables restart 


55.3.3. Firewalld. 

Si utiliza Firewalld —asumiendo que la red pública está en la zona public y que la red de área local está en la 
zona home — sólo ejecute lo siguiente: 


firewall-cmd --zone=public --add-service=dns 
firewall-cmd --zone=home --add-service=dns 


Y haga las reglas permanentes: 


firewall-cmd --permanent --zone=public --add-service=dns 
firewall-cmd --permanent --zone=home --add-service=dns 


55.3.4. Shorewall. 

Edite el archivo /etc/shorewall/rules: 


vim /etc/shorewall/rules 


Las reglas para permitir el acceso al servidor DNS en el anfitrión local corresponderían a algo similar a lo 
siguiente: 


#ACTI0N 

SOURCE 

DEST 

PR0T0 

DEST 

SOURCE 





PORT 

PORT(S)1 

ACCEPT 

all 

fw 

tcp 

53 


ACCEPT 

all 

fw 

udp 

53 



Para permitir a los clientes de una red de área local puedan hacer uso de servidores DNS en Internet, es 
necesario abrir la salida para el puerto 53 (dns), por TCP y UDP. 

Las reglas correspondería a algo similar a lo siguiente: 
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#ACTI0N 

SOURCE 

DEST 

PROTO 

DEST 

SOURCE 





PORT 

PORT(S)1 

ACCEPT 

all 

fw 

tcp 

53 


ACCEPT 

all 

fw 

udp 

53 


ACCEPT 

loc 

net 

tcp 

53 


ACCEPT 

loc 

net 

udp 

53 



Lo anterior permite acceder hacia cualquier dirección IP que responda por los puertos 53/TCP y 53/UDP 
permitiendo acceder hacia cualquier servidor DNS que los usuarios de la red de área local prefieran, lo cual 
puede ser aprovechado por programas como Your Freedom o Ultrasurf para brincar las restricciones de un 
servidor proxy. Por tal motivo es que conviene ajustar las reglas mencionadas arriba para que sólo permitan el 
acceso hacia las direcciones IP de los DNS del proveedor de servicio de acceso hacia Internet. El siguiente 
ejemplo restringe el acceso hacia Internet permitiendo utilizar sólo los servidores DNS de Google: 


#ACTI0N 

SOURCE 

DEST PROTO 

DEST 


SOURCE 

# 



PORT 


P0RT(S)1 

ACCEPT 

all 

fw tcp 

53 



ACCEPT 

all 

fw udp 

53 



ACCEPT 

loc 

net:8.8.8.8 

tcp 

53 


ACCEPT 

loc 

net:8.8.4.4 

udp 

53 



Reinicie el servicio para aplicar los cambios: 


service shorewall restart 


501 






Joel Barrios Duenas 


Configuración de Servidores con GNU/Linux 


56. Configuración de servidor de nombres de dominio 
(DNS). 

Autor: Joel Barrios Dueha 

Correo electrónico: darkshram@gmail.com 
sitio de Red: http://www.alcancelibre.org/ 


Creative Commons Reconocimiento-NoComercial-Compartirlgual 2.1 


© 1999-2016 Joel Barrios Duenas. Usted es libre de copiar, distribuir y comunicar públicamente la obra y hacer obras derivadas bajo las condiciones siguientes: a) 
Debe reconocer y citar al autor original. b) No puede utilizar esta obra para fines comerciales. c) Si altera o transforma esta obra o genera una obra derivada, sólo 
puede distribuir la obra generada bajo una licencia idéntica a ésta. Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. 
Alguna de estas condiciones puede no aplicarse si se obtiene el permiso del titular de los derechos de autor. Los derechos derivados de usos legítimos u otras 
limitaciones no se ven afectados por lo anterior. La información contenida en este documento y los derivados de éste se proporcionan tal cual son y los autores no 
asumirán responsabilidad alguna si el usuario o lector hace mal uso de éstos. 


56.1. Introducción. 


Es imprescindible primero estudiar y comprender, los conceptos descritos en el documento titulado 

«Introducción al protocolo DNS.» 

56.1.1. Acerca de Bind (Berkeley Internet Name Domain). 

BIND (acrónimo de Berkeley Internet Name Domain) es una implementación del protocolo DNS y provee una 
implementación libre de los principales componentes del Sistema de Nombres de Dominio, los cuales incluyen: 

• Un servidor de sistema de nombres de dominio (named). 

• Una biblioteca resolutoria de sistema de nombres de dominio. 


• Herramientas para verificar la operación adecuada del servidor DNS (bind-utils). 


El Servidor DNS BIND es utilizado de manera amplia en Internet en aproximadamente el 99% de los servidores 
DNS del mundo, proporcionando una robustay estable solución. 

56.2. Equipamiento lógico necesario. 

Paquete. Descripción. 

bind Incluye el Servidor DNS (named) y herramientas para verificar su funcionamiento. 

. . . ... Bibliotecas compartidas, que consisten en rutinas para aplicaciones para utilizarse cuando se interactúe con Servidores 

oina-iios DNS 

bind chroot Contiene un árbol de archivos que puede ser utilizado como una jaula chroot para named anadiendo seguridad adicional al 
bind-utils Colección de herramientas para consultar Servidores DNS. 

56.2.1. Instalación a través de yum. 

Ejecute lo siguiente para instalar Bind 9.9 en CentOS 7 o Red Hat™ Enterprise Linux 7: 


yum -y install bind bind-chroot bind-utils 


Ejecute lo siguiente para instalar Bind 9.8 en CentOS 6 o Red Hat™ Enterprise Linux 6: 


yum -y install bind bind-chroot bind-utils 
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Si se utiliza CentOS 5 o Red Hat™ Enterprise Linux 5 se puede instalar Bind 9.7 ejecutando lo siguiente: 

yum remove bind-libs bind-utils bind bind-chroot caching-nameserver 
yum -y install bind97 bind97-chroot bind97-utils 

56.2.2. Crear firma digital del servidor. 

Con la finalidad de mejorar la seguridad, genere una firma digital de 512 bits (el valor predeterminado es 128 
bits) para el servidor DNS. Ejecute lo siguiente: 

rndc-confgen -a -r /dev/urandom -b 512 -c /etc/rndc.key 

Cambie las pertenencias para que este archivo sea propiedad del usuario root y grupo named: 

chown root:named /etc/rndc.key 

Asegure que los permisos de acceso sean lectura y escritura para usuario, sólo lectura para grupo y nada para 
otros, es decir un permiso 640 (rw-r.): 

chmod 640 /etc/rndc.key 

56.2.3. Actualizar el archivo de cache con los servidores DNS raíz. 

El archivo /var/named/named.ca contiene la información de los servidores DNS raíz necesaria para poder 
iniciar el cache de todo servidor DNS de Internet. Actualice este archivo para evitar problemas para la 
resolución de algunas zonas ejecutando la siguiente línea: 

wget -N http://www.internic.net/domain/named.root -0 /var/named/named.ca 

También puede ejecutar lo siguiente para lograr el mismo fin. 

dig +bufsize=1200 +norec NS . @a.root-servers.net > /var/named/named.ca 

Conviene verificar periódicamente si hay alguna actualización de este archivo. La versión más reciente al 
momento de redactar este documento corresponde al 3 de enero de 2013. 

El archivo debe pertenecer a root y el grupo named. 

chown root:named /var/named/named.ca 

Asigne permiso de lectura y escritura para usuario, sólo lectura para grupo y nada para otros (rw-r.). 

chmod 640 /var/named/named.ca 

56.3. Procedimientos. 

56.3.1. SELinux y el servicio named. 
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A mediados de 2008, Common Vulnerabilities and Exposures List y US-CERT, reportaron que el investigador 
Dan Kaminsky descubrió una vulnerabilidad que afectaba a varias implementaciones de DNS (BIND 8 y 9 
antes de 9.5.0-Pl, 9.4.2-Pl y 9.3.5-Pl; Microsoft DNS en todas las versiones de Windows 2000 SP4, XP SP2 y 
SP3, así como Server 2003 SPl y SP2). 

Esta vulnerabilidad permite a cualquier atacante remoto el poder falsificar tráfico DNS a través de ciertas 
técnicas de contaminación de cache en servidores que realizan resolución recursiva (es decir cuando se usa la 
opción allow-recursion abierta a todo el mundo, como ocurre en los servidores DNS públicos) y se relaciona a 
insuficiente aleatoriedad de las identidades de transacción y de los puertos de origen. Es decir, una 
vulnerabilidad de entropía de insuficiencia de zócalos ( sockets ) de DNS (conocido como DNS Insufficient 
Socket Entropy Vulnerability). A través de esta vulnerabilidad un atacante puede contaminar el cache de un 
servidor DNS y hacer que los clientes se conecten hacia direcciones falsas. Es importante aclarar que en 
realidad se trata de una vulnerabilidad en el diseno del protocolo DNS. 

SELinux protege casi por completo al servicio named contra la vulnerabilidad anteriormente descrita. Es por tal 
motivo que es importante utilizar SELinux. 

Ejecute lo siguiente para que SELinux permita al servicio named trabajar con permisos de escritura para zonas 
maestras, es decir un esquema de servidor maestro con servidores esclavos o bien como servidor DNS 
dinámico: 


setsebool -P named_write_master_zones=l 

Lo anterior aplica para cualquier versión de CentOS y Red Hat Enterprise Linux. 

Cualquier archivo de zona que se vaya a utilizar a través del servicio named debe tener el contexto de SELinux 
tipo named_zone_t. El contexto se hereda automáticamente al copiar o crear nuevos archivos dentro de este 
directorio. 

Cualquier archivo de zona dentro de los directorios /va/named/dynamic y /var/named/slaves debe tener el 
contexto de SELinux tipo named_cache_t. El contexto se hereda automáticamente al copiar o crear nuevos 
archivos dentro de estos directorios. 

Cuando las circunstancias lo ameriten, es posible corregir los contextos a los correctos ejecutando lo siguiente. 
restorecon -Rv /var/named 

56.3.2. Descargue configuración mínima para el archivo /etc/named.conf. 

Respalde el archivo /etc/named.conf que se instaló originalmente con el paquete: 

mv /etc/named.conf /etc/named.conf.original 
Ejecute lo siguiente para descargar un archivo plantilla desdeAlcanceLibre.org: 

wget http://www.alcancelibre.org/linux/secrets/named.conf -0 /etc/named.conf 
Asegure que el archivo tiene los contextos de SELinux correcto ejecutando lo siguiente: 

restorecon -v /etc/named.conf 
El archivo debe pertenecer a root y el grupo named. 
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chown rootinamed /etc/named.conf 

Asigne permiso de lectura y escritura para usuario, sólo lectura para grupo y nada para otros (rw-r.). 

chmod 640 /etc/named.conf 

56.3.3. Personalice el archivo /etc/named.conf. 

Edite el archivo /etc/named.conf: 

vim /etc/named.conf 

La configuración mínima de este archivo y la cual permitirá utilizar el servicio para todo tipo de uso, es la 
siguiente. Personalice los valores resaltados. 
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options { 

directory "/var/named"; 

dump-file "/var/named/data/cache_dump.db"; 
statistics-file "/var/named/data/named_stats.txt"; 
memstatistics-file "/var/named/data/named_mem_stats.txt"; 
managed-keys-directory "/var/named/dynamic"; 
version "BIND"; 


forward first; 

// Solo habilitar lo siguiente si se va a utilizar DNSSEC y si los 
// servidores DNS del proveedor tienen soporte para DNSSEC. 


dnssec-lookaside auto; 
bindkeys-file "/etc/named.iscdlv.key"; 

}; 

include "/etc/rndc.key"; 
include "/etc/named.root.key"; 

controls { 

inet 127.0.0.1 allow { 127.0.0.1; } keys { "rndc-key"; }; 

}; 

logging { 

channel default_debug { 
file "data/named.run"; 
severity dynamic; 

}; 

category lame-servers { null; }; 
category dnssec { null; }; 

}; 

view "local" { 

match-clients { 

127.0.0.0/8; 


}; 

recursion yes; 

include "/etc/named.rfcl912.zones"; 
zone IN { 
type hint; 
file "named.ca"; 

}; 

}; 

view "public" { 

match-clients { any; }; 
recursion no; 
zone IN { 

type hint; 
file "named.ca"; 

}; 

}; 


Lo anterior define lo siguiente. 

• El directorio predeterminado será /var/named. 

• Se define como archivo para almacenar la información del caché a /var/named/data/cache_dump.db. 

• Se define como archivo para almacenar estadísticas generales a /var/named/data/named_stats.txt. 
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• Se define como archivo para almacenar estadísticas específicas en lo concerniente al uso de la 
memoria a /var/named/data/named mem_stats.txt. 

• Se definen como ejemplos de servidores DNS para reenviar consultas a 8.8.8.8 y 8.8.4.4, los cuales 
corresponden a los servidores DNS públicos de Google. Puede reemplazar éstos por los servidores 
DNS del proveedor de acceso a Internet utilizado. 

• Se define que la primera opción al realizar consultas será reenviar éstas hacia los servidores DNS que 
se acaban de definir. 

• Se incluyen los archivos de configuración /etc/named.rfcl912.zones, que corresponde a las zonas del 
RFC 1912 y la firma digital única que se generó automáticamente tras instalar el paquete bind. 

• Se define que los controles se realizan solamente desde 127.0.0.1, hacia 127.0.0.1 y utilizando la firma 
digital. 

• Se definen dos zonas de consulta. Local y Public. 

• La zona local sólo permite realizar consultas desde 127.0.0.0/8, 10.0.0.0/8, 172.16.0.0712 y 
192.168.0.0/26. En esta misma zona se define que las consultas recursivas sólo están permitidas para 
éstas mismas redes. 

• la zona public sólo permite acceso desde cualquier parte excepto las redes definidas en la zona local. 

Personalice lo siguiente: 

• Servidores DNS de forvvarders. 

• Redes definidas en la sección match-clients de la vista local. Deje intacto 127.0.0.0/8. 

• Defina yes o no para los valores de dnssec-enable y dnssec-validation. Para utilizar DNSSEC se 
requiere que los servidores DNS definidos en la sección forvvaredes tengan soporte para DNSSEC. 

Inicie el servicio y anada al arranque del sistema. 

56.3.3.1. CentOS 7 y Red Hat™ Enterprise Linux 7 y versiones posteriores. 

Ejecute lo siguiente para iniciar el servicio la primera vez: 


systemctl start named 


Ejecute lo siguiente para habilitar el servicio: 


systemctl enable named 


56.3.3.2. CentOS 6 y Red Hat™ Enterprise Linux 6 y versiones anteriores. 


chkconfig named on 


Ejecute lo siguiente para habilitar el servicio: 
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service named start 


56.3.4. Comprobaciones. 

Compruebe que el servidor DNS recién configurado es capaz de resolver nombres por si mismo. Ejecute lo 
siguiente: 


host www.google.com 127.0.0.1 


La salida debe ser similar a la siguiente: 


[root§cursocentos -]# host www.google.com 127.0.0.1 
Using domain server: 

Name: 127.0.0.1 
Address: 127.0.0.1#53 
Aliases: 

www.google.com has address 216.58.217.228 
www.google.com has IPv6 address 2607:f8b0:4002:805::2004 
[root@cursocentos -]# _ 


Si algo salió mal, por favor revise de nuevo las opciones que personalizó en el archivo /etc/named.conf y repita 
procedimientos. 

56.3.5. Configure 127.0.0.1 como único DNS del sistema. 

Si lo anterior funciona, edite el archivo /etc/resolv.conf: 


vi /etc/resolv.conf 


Establezca a 127.0.0.1 como único servidor DNS. Ejemplo: 


search midominio.com 
nameserver 127.0.0.1 


Edite el archivo de configuración de la interfaz principal de su servidor. Ejemplo: 


vi /etc/sysconfig/network-scripts/ifcfg-enp0s3 


Establezca a 127.0.0.1 como único servidor DNS. Ejemplo: 


DEVICE=enp0s3 

TYPE=Ethernet 

NAME="enp0s3" 

BOOTPROTO=none 

ONBOOT=yes 

IPV4_FAILURE_FATAL=yes 

IPV6INIT=no 

UUID=cae53305-d966-4dba-a8a4-lela42b275e3 

DEFROUTE=no 

NM_CONTROLLED=no 

HWADDR=00:26:22:7F:E8:6D 

IPADDR=192.168.70.1 

PREFIX=25 

GATEWAY=192.168.70.72 
DOMAIN=alcancelibre.org.mx 
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Si la interfaz está configurada por DHCP, anada la opción PEERDNS con valor no y DNSl con valor 127.0.0.1. 
Ejemplo: 


DEVICE=enp0s3 

TYPE=Ethernet 

NAME="enp0s3" 

B00TPR0T0=dhcp 

0NB00T=yes 

IPV4_FAILURE„FATAL=yes 

IPV6INIT=no 

UUID=cae53305-d966-4dba-a8a4-lela42b275e3 

DEFROUTE=no 

NM_C0NTR0LLED=no 

HWADDR=00:26:22:7F:E8:6D 

DOMAIN=alcancelibre.org.mx 


Reinicie el servicio de red para aplicar los cambios: 


service network restart 


Verifique el el DNS predeterminado del sistema puede resolver nombres. Por favor, ejecute lo siguiente: 

host www.google.com 


La salida debe ser similar a la siguiente: 


[root§cursocentos -]# host www.google.com 
www.google.com has address 216.58.217.228 
www.google.com has IPv6 address 2607:f8b0:4002:805::2004 
[root@cursocentos -]# _ 


Si algo salió mal, por favor revise de nuevo las opciones que personalizó en el archivo /etc/named.conf y repita 
procedimientos. 

56.3.6. Preparativos para anadir dominios. 

Idealmente se deben definir primero los siguiente datos: 

1. Dominio a resolver. 

2. Servidor de nombres principal (SOA). Éste debe ser un nombre que ya esté plenamente 
resuelto, y debe ser un FQDN (Fully Qualified Domain Name). 

3. Lista de todos los servidores de nombres (NS) que se utilizarán para efectos de redundancia. 
Éstos deben ser nombres que ya estén plenamente resueltos y deben ser además FQDN 
(Fully Qualified Domain Name). 

4. Cuenta de correo del administrador responsable de esta zona. Dicha cuenta debe existir y 
debe ser independiente de la misma zona que se está tratando de resolver. 

5. Al menos un servidor de correo (MX), con un registro A, nunca CNAME. 

6. IP predeterminada del dominio. 

7. Sub-dominios dentro del dominio (www, mail, ftp, ns, etc.) y las direcciones IP que estarán 
asociadas a éstos. 
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Es importante tener bien en claro que los puntos 2, 3 y 4, involucran datos que deben existir previamente y 
estar plenamente resueltos por otro servidor DNS; Lo anterior quiere decir que jamás se deben utilizar datos 
que sean parte o dependan, del mismo dominio que se pretende resolver. De igual modo, el servidor donde se 
implementará el DNS deberá contar con un nombre FQDN y que esté previa y plenamente, resuelto en otro 
DNS. 

Se debe crear una zona de reenvío por cada dominio sobre el cual se tenga autoridad plena y absoluta y se 
creará una zona de resolución inversa por cada red sobre la cual se tenga plena y absoluta autoridad. Es decir, 
si usted es el propietario del dominio «cualquiercosa.com», debe crear el archivo de zona correspondiente con 
el fin de resolver dicho dominio. Por cada red con direcciones IP privadas, sobre la cual se tenga control y 
absoluta autoridad, se debe crear un archivo de zona de resolución inversa a fin de resolver inversamente las 
direcciones IP de dicha zona. 

Regularmente la resolución inversa de las direcciones IP públicas es responsabilidad de los proveedores de 
servicio ya que son éstos quienes tienen el control sobre éstas. 

Todos los archivos de zona deben pertenecer al usuario «named» a fin de que el servicio named pueda 
acceder a éstos o bien modificar éstos en el caso de tratarse de zonas esclavas. 

56.3.7. Creación de los archivos de zona. 

Los siguientes corresponderían a los contenidos para los archivos de zona requeridos para la red local y por el 
NIC con el que se haya registrado el dominio. Cabe senalar que en las zonas de reenvío siempre se especifica 
al menos un registro SOA y un registro NS. De manera opcional y en caso de que exista un servicio de correo 
electrónico, anada al menos un registro MX (Mail Exchanger o intercambiador de correo). Solamente necesitará 
sustituir nombres y direcciones IP y quizá anadir nuevos registros para complementar su red local. 

56.3.7.1. Configuración mínima para /etc/named.conf en CentOS 5 y Red Hat™ Enterprise 
Linux 5. 

La configuración mínima del archivo /chroot/etc/named.conf y que permitirá utilizar el servicio para todo tipo 
de uso, es la siguiente: 
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options { 

directory "/var/named"; 

dump-file "/var/named/data/cache_dump.db"; 
statistics-file "/var/named/data/named_stats.txt"; 
memstatistics-file "/var/named/data/named_mem_stats.txt"; 
managed-keys-directory "/var/named/dynamic"; 
version "BIND"; 
forwarders { 

8 . 8 . 8 . 8 ; 

8 . 8 . 4 . 4 ; 

}; 

forward first; 

// Solo habilitar lo siguiente si se va a utilizar DNSSEC y si los 
// servidores DNS del proveedor tienen soporte para DNSSEC. 
dnssec-enable yes; 
dnssec-validation yes; 
dnssec-lookaside auto; 
bindkeys-file "/etc/named.iscdlv.key"; 

}; 

include "/etc/rndc.key"; 
include "/etc/named.root.key"; 

logging { 

channel default_debug { 

file "data/named.run"; 
severity dynamic; 

}; 

category lame-servers { null; }; 

}; 

controls { 

inet 127.0.0.1 allow { 127.0.0.1; } keys { "rndckey"; }; 

}; 

view "local" { 

match-clients { 

127.0.0.0/8; 

10 . 0 . 0 . 0 / 8 ; 

172.16.0.0/12; 

192.168.0.0/16; 

}; 

recursion yes; 

include "/etc/named.rfcl912.zones"; 

}; 


Lo anterior define como opciones que el directorio predeterminado será /var/named, se define un archivo donde 
se almacena la información del caché en /var/named/data/cache_dump.db; un archivo de estadísticas en 
/var/named/data/named_stats.txt, un archivo de estadísticas específicas en lo concerniente al uso de la 
memoria en /var/named/data/named_mem_stats.txt; consultas recursivas permitidas solamente a 127.0.0.1 y 
192.168.1.0/24; se definen como ejemplos de servidores DNS para reenviar consultas a 8.8.8.8 y 8.8.4.4, que 
corresponden a servidores DNS públicos de Google, los cuales puede reemplazar por los servidores DNS 
del proveedor de acceso a Internet utilizado; se define que la primera opción al realizar una consulta será 
reenviar a los DNS que se acaban de definir; se incluyen los archivos de configuración 
/etc/named.rfcl912.zones, que corresponde a las zonas del RFC 1912 y la firma digital única que se generó 
automáticamente tras instalar el paquete bind; Se define también que los controles se realizan solamente desde 
127.0.0.1, hacia 127.0.0.1, utilizando la firma digital única. 

Conviene asegurarse que el archivo /etc/named.conf tenga los contextos correspondientes para SELinux a fin 
de evitar potenciales problemas de seguridad. 


chcon -u system_u -r object_r -t named_conf_t /etc/named.conf 


56.3.7.2. Ejemplo de Zona de reenvío red local /var/named/data/red-local.zone. 
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$TTL 3600 


IN SOA dns.red-local. alguien.gmail.com. ( 

2015090901; número de serie 
1800 ; tiempo de refresco 
900 ; tiempo entre reintentos de consulta 
604800 ; tiempo tras el cual expira la zona 
3600 ; tiempo total de vida 
) 


i 

IN 

NS 

dns.red-local.net. 

i 

IN 

MX 

10 mail 

i 

IN 

TXT 

"v=spfl a mx -all" 

i 

IN 

A 

192.168.1.1 

intranet 

IN 

A 

192.168.1.1 

maquina2 

IN 

A 

192.168.1.2 

maquina3 

IN 

A 

192.168.1.3 

maquina4 

IN 

A 

192.168.1.4 

www 

IN 

A 

192.168.1.1 

mail 

IN 

A 

192.168.1.1 

ftp 

IN 

CNAME 

intranet 

dns 

IN 

CNAME 

intranet 

i. Zona de resolución inversa red local /var/named/data/1.168.192.in-addr.arpa.zc 

$TTL 3600 




i 

IN 

SOA 

dns.red-local. alguien.gmail.com. ( 


2015090901 ; 

número de serie 


1800 ; 

tiempo 

de refresco 


900 ; 

tiempo i 

entre reintentos de consulta 


604800 

; tiempo tras el cual expira la zona 


3600 ; 

tiempo 

total de vida 

i 

) 

IN 

NS 

dns.red-local. 

1 IN 

PTR 

intranet.red-local. 

2 IN 

PTR 

maquina2.red-local. 

3 IN 

PTR 

maquina3.red-local. 

4 IN 

PTR 

maquina4.red-local. 

l. Zona de reenvío del dominio /var/named/data/dominio.com.zone 


Suponiendo que hipotéticamente se es la autoridad para el dominio «dominio.com», se puede crear una Zona 
de Reenvío con un contenido similar al siguiente: 


$TTL 3600 

@ IN SOA fqdn.dominio.tld. alguien.gmail.com. ( 

2015090901; número de serie 
1800 ; tiempo de refresco 
900 ; tiempo entre reintentos de consulta 
604800 ; tiempo tras el cual expira la zona 
3600 ; tiempo total de vida 
) 


i 

IN 

NS 

fqdn.dominio. 

i 

IN 

MX 

10 mail 

i 

IN 

TXT 

"v=spfl a mx 

i 

IN 

A 

201.161.1.226 

servidor 

IN 

A 

201.161.1.226 

www 

IN 

A 

201.161.1.226 

mail 

IN 

A 

201.161.1.226 

ftp 

IN 

CNAME 

servidor 

dns 

IN 

CNAME 

servidor 


56.3.7.5. Zona de resolución inversa del dominio /var/named/data/1.161.201.in-addr.arpa.zone 

Suponiendo que hipotéticamente se es la autoridad para el segmento de red 201.161.1.0/24 (regularmente lo 
debe de hacer el proveedor de servicio de acceso hacia Internet), se puede crear una Zona de Resolución 
Inversa con un contenido similar al siguiente: 
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$TTL 3600 

§ IN SOA fqdn.dominio. tld . alguien.gmail.com. ( 

2015090901 ; número de serie 
1800 ; tiempo de refresco 
900 ; tiempo entre reintentos de consulta 
604800 ; tiempo tras el cual expira la zona 
3600 ; tiempo total de vida 
) 


i 


IN 

NS fqdn.dominio 

1 

IN 

PTR 

servidor.dominio.com 

2 

IN 

PTR 

maquina2.dominio.com 

3 

IN 

PTR 

maquina3.dominio.com 

4 

IN 

PTR 

maquina4.dominio.com 


Cada vez que haga algún cambio en algún archivo de zona, deberá cambiar el número de serie a fin de que 
tomen efecto los cambios de inmediato cuando se reinicie el servicio named, ya que de otro modo tendría que 
reiniciar el equipo, algo poco conveniente. 


Las zonas de resolución inversa que involucran direcciones IP públicas son responsabilidad de los ISP 
(proveedores de servicio de acceso hacia Internet). Crear una zona de resolución inversa sin ser la autoridad de 
dicha zona tiene efecto sólo para quien use el servidor DNS recién configurado como único DNS. 

56.3.7.6. Configuración de opciones del archivo /etc/named.conf 
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options { 

directory "/var/named"; 

dump-file "/var/named/data/cache_dump.db"; 
statistics-file "/var/named/data/named_stats.txt"; 
memstatistics-file "/var/named/data/named_mem_stats.txt"; 
managed-keys-directory "/var/named/dynamic"; 
version "BIND"; 
forwarders { 

8.8.8.8; 

8.8.4.4; 

}; 

forward first; 

// Solo habilitar lo siguiente si se va a utilizar DNSSEC y si los 
// servidores DNS del proveedor tienen soporte para DNSSEC. 
dnssec-enable yes; 
dnssec-validation yes; 
dnssec-lookaside auto; 
bindkeys-file "/etc/named.iscdlv.key"; 

}; 

include "/etc/rndc.key"; 
include "/etc/named.root.key"; 

logging { 

channel default_debug { 

file "data/named.run"; 
severity dynamic; 

}; 

category lame-servers { null; }; 

}; 

controls { 

inet 127.0.0.1 allow { 127.0.0.1; } keys { "rndc-key"; }; 

}; 

view "local" { 

match-clients { 

127.0.0.0/8; 

10.0.0.0/8; 

172.16.0.0/12; 

192.168.0.0/16; 

}; 

recursion yes; 

include "/etc/named.rfcl912.zones"; 
zone IN { 

type hint; 
file "named.ca"; 

}; 

zone "red-local" { 
type master; 

file "data/red-local.zone"; 
allow-update { none; }; 

}; 

zone "1.168.192.in-addr.arpa" { 
type master; 

file "data/1.168.192.in-addr.arpa.zone"; 
allow-update { none; }; 

}; 

}; 


56.3.8. Seguridad adicional en DNS para uso público. 

Quienes hayan utilizado en recientes fechas los servicios de DNS Report, habrán notado que el diagnóstico en 
línea devuelve ahora un error que, en resumen, indica que el servidor puede ser susceptible de sufrir/participar 
en un ataque DDoS (Distributed Denail of Service o denegación de servicio distribuido). 
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Un DDoS (Distributed Denial of Service) es una ampliación del ataque DoS, se efectúa con la instalación de 
varios agentes remotos en muchas computadoras que pueden estar localizadas en diferentes puntos del 
mundo. El atacante consigue coordinar esos agentes para así, de forma masiva, amplificar el volumen del 
saturación de información ( flood ), pudiendo darse casos de un ataque de cientos o millares de computadoras 
dirigido a una máquina o red objetivo. Esta técnica se ha revelado como una de las más eficaces y sencillas a la 
hora de colapsar servidores, la tecnología distribuida ha ido haciendo más sofisticada hasta el punto de otorgar 
poder de causar danos serios a personas con escaso conocimiento técnico. 

La falla reportada por la herramienta en línea de DNS Report, para un servidor DNS que permite consultas 
recursivas, indicará algo como lo siguiente: 


«ERROR: One or more ofyour nameservers reports that it is an open DNS server. This usually means that anyone in the world can query it for domains it is not 
authoritative for (it is possible that the DNS server advertises that it does recursive lookups when it does not, but that shouldn't happen). This can cause an 
excessive load on your DNS server. Alos, it is strongly discouraged to have a DNS server be both authoritative foryour domain and be recursive (even if it is not 
open), due to the potential for cache poisoning (with no recursion, there is no cache, and it is impossible to poison it). Alos, the bad guys could use your DNS server 
as part of an attack, by forging their IP address» 


Significa que el servidor DNS puede permitir a cualquiera realizar consultas recursivas. Si se trata de un DNS 
que se desea pueda ser consultado por cualquiera, como puede ser el caso del DNS de un ISP, esto es normal 
y esperado. Si se trata de un servidor que sólo debe consultar la red local o bien que se utiliza para propagar 
dominios alojados de manera local, si es conveniente tomar medidas al respecto. 


Solución al problema es modificar el archivo named.conf, donde se anade en la sección de vista local (view 
"local") la opción recursion yes; y una o más líneas que definan a la red o las redes que tendrán permitido 
realizar todo tipo de consultas. 


options { 

directory "/var/named"; 

dump-file "/var/named/data/cache_dump.db"; 

statistics-file "/var/named/data/named_stats.txt"; 

memstatistics-file "/var/named/data/named_mem_stats.txt"; 

version "BIND"; 

forwarders {192.168.0.1; }; 

forward first; 

dnssec-enable yes; 

dnssec-validation yes; 

dnssec-lookaside auto; 

bindkeys-file "/etc/named.iscdlv.key"; 

}; 

logging { 

channel default_debug { 

file "data/named.run"; 
severity dynamic; 

}; 

}; 

controls { 

inet 127.0.0.1 allow { 127.0.0.1; } keys { "rndc-key"; }; 

}; 

include "/etc/rndc.key"; 

view "local" { 

match-clients { 

127.0.0.0/8; 

10 . 0 . 0 . 0 / 8 ; 

172.16.0.0/12; 

192.168.0.0/16; 

}; 

recursion yes; 

include "/etc/named.rfcl912.zones"; 
zone IN { 

type hint; 
file "named.ca"; 

}; 

}; 
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Lo anterior hace que sólo se puedan realizar consultas recursivas en el DNS desde 127.0.0.0/8, 10.0.0.0/8, 
172.16.0.0/12 y 192.168.0.0/16, ya sea para un nombre de dominio alojado de manera local y otros dominios 
resueltos en otros servidores (ejemplo: www.yahoo.com,www.google.com,www.alcancelibre.org, etc). El resto 
del mundo sólo podrá realizar consultas sobre los dominios alojados de manera local y que estén configurado 
para permitirlo. 

En la siguiente configuración de ejemplo, se pretende lograr lo siguiente: 

Red Local: cualquier tipo de consulta hacia dominios externos y locales (es decir, www.yahoo.com, 
www.google.com,alcancelibre.org, además de midominio.com). 

• Resto del mundo: sólo puede hacer consultas para la zona de midominio.com 


De este modo se impide que haya consultas recursivas y con esto impedir la posibilidad de sufrir/participar de 
un ataque DDoS. 
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options { 

directory "/var/named"; 

dump-file "/var/named/data/cache„dump.db"; 

statistics-file "/var/named/data/named_stats.txt"; 

memstatistics-file "/var/named/data/named_mem_stats.txt"; 

version "BIND"; 

forwarders {192.168.0.1; }; 

forward first; 

dnssec-enable yes; 

dnssec-validation yes; 

dnssec-lookaside auto; 

bindkeys-file "/etc/named.iscdlv.key"; 

}; 

logging { 

channel default_debug { 

file "data/named.run"; 
severity dynamic; 

}; 

}; 

controls { 

inet 127.0.0.1 allow { 127.0.0.1; } keys { "rndc-key"; }; 

}; 

include "/etc/rndc.key"; 

view "publico" { 

match-clients { any; }; 
recursion no; 
zone IN { 

type hint; 
file "named.ca"; 

}; 

zone "midominio.com" { 
type master; 

file "data /midominio.com . zone"; 
allow-update { none; }; 

allow-transfer { 200.76.185.252; 200.76.185.251; }; 

}; 

}; 

view "local" { 

match-clients { 

127.0.0.0/8; 

10 . 0 . 0 . 0 / 8 ; 

172.16.0.0/12; 

192.168.0.0/16; 

}; 

recursion yes; 

include "/etc/named.rfcl912.zones"; 
zone IN { 

type hint; 
file "named.ca"; 

}; 

zone "miredlocal" { 
type master; 

file "data/miredlocal.zone"; 
allow-update { none; }; 
allow-transfer { 192.168.0.2; }; 

}; 

}; 


Un DDoS (Distributed Denial of Service) es una ampliación del ataque DoS, se efectúa con la instalación de 
varios agentes remotos en muchas computadoras que pueden estar localizadas en diferentes puntos del 
mundo. El atacante consigue coordinar esos agentes para así, de forma masiva, amplificar el volumen del 
saturación de información (flood), pudiendo darse casos de un ataque de cientos o millares de computadoras 
dirigido a una máquina o red objetivo. Esta técnica se ha revelado como una de las más eficaces y sencillas a la 
hora de colapsar servidores, la tecnología distribuida ha ido haciendo más sofisticada hasta el punto de otorgar 
poder de causar danos serios a personas con escaso conocimiento técnico. 
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La falla reportada por la herramienta en línea de DNS Report, para un servidor DNS que permite consultas 
recursivas, indicará algo como lo siguiente: 


«ERROR: One or more ofyour nameservers reports that it is an open DNS server. This usually means that anyone in the world can query it for domains it is not 
authoritative for (it is possible that the DNS server advertises that it does recursive lookups when it does not, but that shouldn't happen). This can cause an 
excessive load on your DNS server. Alos, it is strongly discouraged to have a DNS server be both authoritative foryour domain and be recursive (even if it is not 
open), due to the potential for cache poisoning (with no recursion, there is no cache, and it is impossible to poison it). Alos, the bad guys could use your DNS server 
as part of an attack, by forging their IP address» 


Significa que el servidor DNS puede permitir a cualquiera realizar consultas recursivas. Si se trata de un DNS 
que se desea pueda ser consultado por cualquiera, como puede ser el caso del DNS de un ISP, esto es normal 
y esperado. Si se trata de un servidor que sólo debe consultar la red local o bien que se utiliza para propagar 
dominios alojados de manera local, si es conveniente tomar medidas al respecto. 


Solución al problema es modificar el archivo named.conf, donde se anade en la sección de vista local (view 
"local") la opción recursion yes; y una o más líneas que definan la red o las redes que tendrán permitido 
realizar todo tipo de consultas. 


options { 

directory "/var/named"; 

dump-file "/var/named/data/cache_dump.db"; 

statistics-file "/var/named/data/named_stats.txt"; 

memstatistics-file "/var/named/data/named_mem_stats.txt"; 

version "BIND"; 

forwarders { 192.168.70.1; }; 

forward first; 

dnssec-enable yes; 

dnssec-validation yes; 

dnssec-lookaside auto; 

bindkeys-file "/etc/named.iscdlv.key"; 

}; 

logging { 

channel default_debug { 

file "data/named.run"; 
severity dynamic; 

}; 

}; 

controls { 

inet 127.0.0.1 allow { 127.0.0.1; } keys { "rndc-key"; }; 

}; 

include "/etc/rndc.key"; 

view "local" { 

match-clients { 

127.0.0.0/8; 

10 . 0 . 0 . 0 / 8 ; 

172.16.0.0/12; 

192.168.0.0/16; 

}; 

recursion yes; 

include "/etc/named.rfcl912.zones"; 
zone IN { 

type hint; 
file "named.ca"; 

}; 

}; 


Lo anterior hace que sólo se puedan realizar todo tipo de consultas en el DNS desde 127.0.0.0/8, 10.0.0.0/8, 
172.16.0.0/12 y 192.168.0.0/16, ya sea para un nombre de dominio alojado de manera local y otros dominios 
resueltos en otros servidores (ejemplo: www.yahoo.com,www.google.com,www.alcancelibre.org , etc). El resto 
del mundo sólo podrá realizar consultas sobre los dominios alojados de maneja local y que estén configurado 
para permitirlo. 


En la siguiente configuración de ejemplo, se pretende lograr lo siguiente: 
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• Red Local: cualquier tipo de consulta hacia dominios externos y locales (es decir, www.yahoo.com, 
www.google.com,alcancelibre.org, además de midominio.com). 

• Resto del mundo: sólo puede hacer consultas para la zona de midominio.com 

De este modo se impide que haya consultas recursivas y con esto impedir la posibilidad de sufrir/participar de 
un ataque DDoS. 
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options { 

directory "/var/named"; 

dump-file "/var/named/data/cache„dump.db"; 

statistics-file "/var/named/data/named_stats.txt"; 

memstatistics-file "/var/named/data/named_mem_stats.txt"; 

version "BIND"; 

forwarders {192.168.0.1; }; 

forward first; 

dnssec-enable yes; 

dnssec-validation yes; 

dnssec-lookaside auto; 

bindkeys-file "/etc/named.iscdlv.key"; 

}; 

logging { 

channel default_debug { 

file "data/named.run"; 
severity dynamic; 

}; 

}; 

controls { 

inet 127.0.0.1 allow { 127.0.0.1; } keys { "rndc-key"; }; 

}; 

include "/etc/rndc.key"; 

view "publico" { 

match-clients { any; }; 
recursion no; 
zone IN { 

type hint; 
file "named.ca"; 

}; 

zone "midominio.com" { 
type master; 

file "data /midominio.com. zone"; 
allow-update { none; }; 

allow-transfer { 204.13.249.75; 208.78.69.75; 91.198.22.75; }; 

}; 

}; 

view "local" { 

match-clients { 

127.0.0.0/8; 

10 . 0 . 0 . 0 / 8 ; 

172.16.0.0/12; 

192.168.0.0/16; 

}; 

recursion yes; 

include "/etc/named.rfcl912.zones"; 
zone IN { 

type hint; 
file "named.ca"; 

}; 

zone "miredlocal" { 
type master; 

file "data/miredlocal.zone"; 
allow-update { none; }; 
allow-transfer { 192.168.0.2; }; 

}; 

}; 


56.3.9. Seguridad adicional en DNS para uso exclusivo en red local. 
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Si se va a tratar de un servidor de nombres de dominio para uso exclusivo en red local y se quieren evitar 
problemas de seguridad de diferente índole, puede utilizarse el parámetro allow-query, el cual servirá para 
especificar que sólo ciertas direcciones podrán realizar consultas al servidor de nombres de dominio. Se 
pueden especificar directamente direcciones IP, redes completas o listas de control de acceso que deberán 
definirse antes de cualquier otra cosa en el archivo /etc/named.conf. 

56.3.9.1. Archivo /etc/named.conf 


options { 

directory "/var/named/"; 
dump-file "/var/named/data/cache„dump.db"; 
statistics-file "/var/named/data/named_stats.txt"; 
memstatistics-file "/var/named/data/named_mem_stats.txt"; 
version "BIND"; 
forwarders { 

8.8.8.8; 

8.8.4.4; 

}; 

forward first; 
dnssec-enable yes; 
dnssec-validation yes; 
dnssec-lookaside auto; 
bindkeys-file "/etc/named.iscdlv.key"; 

}; 

logging { 

channel default_debug { 

file "data/named.run"; 
severity dynamic; 

}; 

}; 

controls { 

inet 127.0.0.1 allow { 127.0.0.1; } keys { "rndc-key"; }; 

}; 

include "/etc/rndc.key"; 

view "local" { 

match-clients { 

127.0.0.0/8; 

10.0.0.0/8; 

172.16.0.0/12; 

192.168.0.0/16; 

}; 

recursion yes; 

include "/etc/named.rfcl912.zones"; 
zone IN { 

type hint; 
file "named.ca"; 

}; 

zone "red-local" { 
type master; 

file "data/red-local.zone"; 
allow-update { none; }; 

}; 

zone "1.168.192.in-addr.arpa" { 
type master; 

file "data/1.168.192.in-addr.arpa.zone"; 
allow-update { none; }; 

}; 

}; 


56.3.10. Las zonas esclavas. 
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Las zonas esclavas se refieren a aquellas hospedadas en servidores de nombres de dominio secundarios y que 
hacen las funciones de redundar las zonas maestras en los servidores de nombres de dominio primarios. El 
contenido del archivo de zona es el mismo que en servidor primario. La diferencia está en la sección de texto 
utilizada en named.conf, donde las zonas se definen como esclavas y definen los servidores donde está 
hospedada la zona maestra. 

56.3.10.1. Archivo named.conf Servidor DNS secundario. 


view "publico" { 

match-clients { any; }; 
recursion no; 
zone IN { 

type hint; 
file "named.ca"; 

}; 

zone "dominio.com" { 

type slave; 

file "dominio.com.zone"; 

masters { 192.168.1.254; }; 
allow-transfer { 192.168.1.254; }; 

}; 

}; 

view "local" { 

match-clients { 

127.0.0.0/8; 

10 . 0 . 0 . 0 / 8 ; 

172.16.0.0/12; 

192.168.0.0/16; 

}; 

recursion yes; 

include "/etc/named.rfcl912.zones"; 
zone IN { 

type hint; 
file "named.ca"; 

}; 

zone "red-local" { 

type slave; 

file "data/red-local.zone"; 

masters { 192.168.1.254; }; 
allow-transfer { 192.168.1.254; }; 

}; 

zone "1.168.192.in-addr.arpa" { 

type slave; 

file "data/1.168.192.in-addr.arpa.zone"; 

masters { 192.168.1.254; }; 
allow-transfer { 192.168.1.254; }; 

}; 

}; 


Adicionalmente, si desea incrementar seguridad y desea especificar en el Servidor DNS Primario que 
servidores tendrán permitido ser servidores de nombres de dominio secundario, es decir, hacer transferencias, 
puede utilizar el parámetro allovv-transfer del siguiente modo: 

56.3.10.2. Archivo named.conf Servidor DNS Primario. 
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view "publico" { 

match-clients { any; }; 
recursion no; 
zone IN { 

type hint; 
file "named.ca"; 

}; 

zone "dominio.com" { 
type master; 

file "dominio.com.zone"; 
allow-update { none; }; 

allow-transfer { 

200.33.146.217; 

200.33.146.209; 


view "local" { 

match-clients { 

127.0.0.0/8; 

10 . 0 . 0 . 0 / 8 ; 

172.16.0.0/12; 

192.168.0.0/16; 

}; 

recursion yes; 

include "/etc/named.rfcl912.zones"; 
zone IN { 

type hint; 
file "named.ca"; 

}; 

zone "red-local" { 
type master; 

file "data/red-local.zone"; 
allow-update { none; }; 

allow-transfer { 

192.168.1.15; 

192.168.1.16; 

}; 

}; 

zone "1.168.192.in-addr.arpa" { 
type master; 

file "data/1.168.192.in-addr.arpa.zone"; 
allow-update { none; }; 

allow-transfer { 

192.168.1.15; 

192.168.1.16; 

}; 

}; 

}; 


56.3.11. Seguridad adicional para transferencias de zona. 

Cuando se gestionan dominios a través de redes públicas, es importante considerar que si se tienen esquemas 
de servidores maestros y esclavos, siempre será más conveniente utilizar una clave cifrada en lugar de una 
dirección IP, debido a que esta última puede ser falsificada bajo ciertas circunstancias. 


Comúnmente se definen las direcciones IP desde las cuales se permitirá transferencias de zonas, utilizando 
una configuración en el archivo /etc/named.conf como la ejemplificada a continuación, donde los servidores 
esclavos corresponden a los servidores con direcciones IP 192.168.1.11 y 192.168.1.12: 


zone "mi-dominio.org" { 
type master; 

file "data/mi-dominio.org.zone"; 
allow-update { none; }: 

allow-transfer { 192.168.1.11; 192.168.1.12; }; 
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Lo anterior permite la transferencia de zona para los servidores con direcciones IP 192.168.1.11 y 
192.168.1.12, los cuales utilizan la siguiente configuración en el archivo /etc/named.conf, ejemplificada a 
continuación, donde el servidor primario (zonas maestras) corresponde al servidor con dirección IP 192.168.1.1: 


zone "mi-dominio.org" { 


type slave; 


file "data/mi-dominio 

.org.zone"; 

masters { 192.168.1.1 

; }; 

allow-transfer { 192. 

}; 

168.1.1; }; 


El inconveniente del esquema anterior es que es fácil falsificar las direcciones IP. Afin de evitar que esto ocurra, 
el método recomendado será utilizar una clave cifrada que será validada en lugar de la dirección IP. La llave se 
crea con dnssec-keygen, especificando un algoritmo, que puede ser RSAMD5 o RSA, DSA, DH (Diffie 
Hellman) o HMAC-MD5, el tamano de la llave en octetos (bits), el tipo de la llave, que puede ser ZONE, HOST, 
ENTITY o USER y el nombre específico para la clave cifrada. DSA y RSA se utilizan para DNS Seguro 
(DNSSEC), en tanto que HMAC-MD5 se utiliza para TSIG (Transfer SIGnature o transferencia de firma). Lo 
más común es utilizar TSIG. En el siguiente ejemplo, se generará en el directorio de trabajo actual la clave mi- 
dominio.org, utilizando /dev/random como fuente de datos aleatorios, un algoritmo HMAC-MD5 tipo HOST de 
128 octetos (bits): 


dnssec-keygen -r /dev/random -a HMAC-MD5 -b 128 -n HOST mi-dominio.org 


Lo anterior devuelve una salida similar a la siguiente: 


Kmi-dominio.org.+157+32322 


Al mismo tiempo se generaran dos archivos en el directorio /var/named/, que corresponderían a Kmi- 
dominio.org. +157+32322.key y Kmi-dominio.org.+157+32322.private. Kmi-dominio.org. +157+32322.key 

deberá tener un contenido como el siguiente, el cual corresponde al registro que se anade dentro del archivo de 
zona: 


mi-dominio.org. IN KEY 512 3 157 NPuNuxvZAjtd3mriuygT8Q== 


Kmi-dominio.org. +157+32322.private deberá tener un contenido como el siguiente: 


Private-key-format: vl.2 
Algorithm: 157 (HMAC_MD5) 

Key: NPuNuxvZAjtd3mriuygT8Q== 


En ambos casos, NPuNuxvZAjtd3mriuygT8Q== corresponde a la clave cifrada. Ambos deben tener la misma 
clave. 


Los dos archivos sólo deben tener atributos de lectura para el usuario named. 


chmod 400 Kmi-dominio.org. +157+32322.* 
chown named.named Kmi-dominio.org.+157+32322. * 


Afin de poder ser utilizados, ambos archivos deben ser movidos hacia el directorio /var/named/data/. 


mv Kmi-dominio.org.+157+32322.*/var/named/data/ 


A continuación, restaure los atributos predeterminados para estos archivos utilizando restorecon, del siguiente 
modo: 
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restorecon -R /var/named/data/ 


En el servidor primario (zonas maestras), se anade la siguiente contiguración en el archivo /etc/named.conf: 


key mi-dominio.org { 
algorithm HMAC-MD5; 
secret "NPuNuxvZAjtd3mriuygT8Q=="; 

}; 

zone "mi-dominio.org" { 
type master; 

file "data/mi-dominio.org.zone"; 
allow-update { none; }; 
allow-transfer { key mi-dominio.org; }; 

}; 


Los servidores esclavos utilizarían la siguiente configuración en el archivo /etc/named.conf, en donde se define 
la clave y que ésta será utilizada para realizar conexiones hacia el servidor primario (zonas maestras) 
(192.168.1.1, en el ejemplo): 


key mi-dominio.org { 

algorithm HMAC-MD5; 

secret "NPuNuxvZAj td3mriuygT8Q=="; 

}; 

server 192.168.1.1 { 

keys { mi-dominio.org; }; 

}; 

zone "mi-dominio.org" { 
type slave; 

masters { 192.168.1.1; }; 
allow-transfer { 192.168.1.1; }; 

}; 


56.3.11.1. Comprobaciones. 

Tanto en el servidor primario (zonas maestras) como en los servidores esclavos, utilice tail para ver la salida del 
archivo /var/log/messages, pero sólo aquello que contenga la cadena de caracteres named: 

tail -f /var/log/messages |grep named 


Al reiniciar el servicio named en servidor primario (zonas maestras), se debe mostrar una salida similar a la 
siguiente cuando un servidor esclavo realiza una transferencia: 


Sep 10 01:57:40 servidor named[6042]: listening on IPv4 interface eth0, 192.168.1.64#53 

Sep 10 01:57:40 servidor named[6042]: command channel listening on 127.0.0.1#953 

Sep 10 01:57:40 servidor named[6042[: zone O.in-addr.arpa/IN: loaded serial 42 

Sep 10 01:57:40 servidor named[6042]: zone 0.0.127.in-addr.arpa/IN: loaded serial 1997022700 

Sep 10 01:57:40 servidor named[6042]: zone 255.in-addr.arpa/IN: loaded serial 42 

Sep 10 01:57:40 servidor named[6042]: zone 

0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa/IN: loaded serial 1997022700 

Sep 10 01:57:40 servidor named[6042]: zone localdomain/IN: loaded serial 42 

Sep 10 01:57:40 servidor named[6042]: zone localhost/IN: loaded serial 42 

Sep 10 01:57:40 servidor named[6042]: zone mi-dominio.org/IN: loaded serial 2009091001 

Sep 10 01:57:40 servidor named: Iniciación de named succeeded 

Sep 10 01:57:40 servidor named[6042]: running 

Sep 10 01:57:40 servidor named[6042]: zone mi-dominio.org/IN: sending notifies (serial 2009091001) 

Sep 10 01:59:49 servidor named[6042]: client 192.168.1.11#32817: transfer of 'mi-dominio.org/IN': AXFR 
started 


Al reiniciar el servicio named en los servidores esclavos, se debe mostrar una salida similar a la siguiente: 
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Sep 10 01:58:15 servidor named[5080]: listening on IPv4 interface eth0, 192.168.1.253#53 

Sep 10 01:58:15 servidor named[5080]: command channel listening on 127.0.0.1#953 

Sep 10 01:58:15 servidor named[5080]: zone 0.in-addr.arpa/IN: loaded serial 42 

Sep 10 01:58:15 servidor named[5080]: zone 0.0.127.in-addr.arpa/IN: loaded serial 1997022700 

Sep 10 01:58:15 servidor named[5080]: zone 255.in-addr.arpa/IN: Loaded serial 42 

Sep 10 01:58:15 servidor named[5080]: zone 

0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa/IN: loaded serial 1997022700 

Sep 10 01:58:15 servidor named[5080]: zone localdomain/IN: loaded serial 42 

Sep 10 01:58:15 servidor named[5080]: zone localhost/IN: loaded serial 42 

Sep 10 01:58:15 servidor named[5080]: running 

Sep 10 01:58:15 servidor named: Iniciación de named succeeded 

Sep 10 01:58:15 servidor named[5080]: zone mi-dominio.org/IN: transferred serial 2009091001 

Sep 10 01:58:15 servidor named[5080]: transfer of 'mi-dominio.org/IN' from 192.168.1.1#53: end of 

transfer 

Sep 10 01:58:15 servidor named[508O]: zone mi-dominio.org/IN: sending notifies (serial 2009091001) 


56.3.12. Reiniciar servicio y depuración de configuración. 

Al terminar de editar todos los archivos involucrados, sólo bastará reiniciar el servidor de nombres de dominio. 

service named restart 

Si queremos que el servidor de nombres de dominio quede anadido entre los servicios en el arranque del 
sistema, deberemos realizar lo siguiente afin de habilitar named junto con el arranque del sistema: 

chkconfig named on 

Realice prueba de depuración y verifique que la zona haya cargado con número de serie: 

tail -80 /var/log/messages |grep named 


Lo anterior, si está funcionando correctamente, debería devolver algo parecido a lo mostrado a continuación: 
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named[30618]: starting BIND 9.2.2 -u named 

named[30618]: using 1 CPU 

named: Iniciación de named succeeded 


named[30622] 
named[30622] 
named[30622] 
named[30622] 
named[30622] 
named[30622] 
named[30622] 
named[30622] 
named[30622] 
named[30622] 
named[30622] 


loading configuration from 1 /etc/named.conf' 
no IPv6 interfaces found 

listening on IPv4 interface lo, 127.0.0.1#53 

listening on IPv4 interface eth0, 192.168.1.1#53 

command channel listening on 127.0.0.1#953 

zone 0.0.127 .in-addr.arpa/IN: loaded serial 3 

zone 1.168.192.in-addr.arpa/IN: loaded serial 2009091001 

zone localhost/IN: loaded serial 1 

zone mi-dominio.com.mx/IN: loaded serial 2009091001 

running 

zone 1.168.192.in-addr.arpa/IN: sending notifies (serial 


servidor named[30622]: zone mi-dominio.com.mx/IN: sending notifies (serial 2009091001) 
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© 1999-2016 Joel Barrios Duenas. Usted es libre de copiar, distribuir y comunicar públicamente la obra y hacer obras derivadas bajo las condiciones siguientes: a) 
Debe reconocer y citar al autor original. b) No puede utilizar esta obra para fines comerciales. c) Si altera o transforma esta obra o genera una obra derivada, sólo 
puede distribuir la obra generada bajo una licencia idéntica a ésta. Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. 
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limitaciones no se ven afectados por lo anterior. La información contenida en este documento y los derivados de éste se proporcionan tal cual son y los autores no 
asumirán responsabilidad alguna si el usuario o lector hace mal uso de éstos. 


57.1. Introducción. 

Este documento requiere se dominen perfectamente los conceptos explicados en el documento titulado 
«Introducción al protocolo DNS » y haber realizado la configuración básica de Bind como se describe en el 
documento titulado «Có/no configurar un servidor de nombres de dominio (DNS)». 

Administrar las zonas de DNS utilizando nsupdate permite realizar cambios de manera rápida y dinámica sin 
necesidad de editar archivos y reiniciar el servicio para aplicar los cambios. Impide que los errores de sintaxis 
hagan fallar el servicio al realizar validaciones de registros antes de consignar los cambios. 

Nsupdate es utilizado para enviar solicitudes dinámicas de DNS hacia un servidor DNS como se define en el 
RFC 2136. Permite anadir o eliminar registros de una zona son tener que editar manualmente los archivos de 
zona. Una sola solicitud de actualización puede contener varias solicitudes y anadir o eliminar más de un 
registro. 

Una vez iniciado el servicio de DNS con zonas bajo control dinámico a través de nsupdate o bien un servidor 
DHCP, jamás se debe editar los archivos de éstas. Hacerlo puede ocasionar conflictos con las actualizaciones 
dinámicas y ocasionar pérdida de datos. 

Ejecute lo siguiente para consultar la ayuda rápida de nsupdate: 


nsupdate --help 


Ejecute lo siguiente para consultar el manual detallado de nsupdate: 


man 1 nsupdate 


Pulse «q» para salir de la página de manual. 

57.2. Preparativos. 

Los procedimientos descritos a continuación asumen que se dispone de dos servidores con CentOS 7, 
configurados como se describe en el documento titulado «Cómo configurar un servidor de nombres de 
dominio (DNS)». Uno de los servidores será el servidor DNS maestro y el otro será el servidor DNS esclavo. 

Hipotéticamente se asume el siguiente escenario: 

• El servidor DNS maestro tiene dirección IP 192.168.1.1. 

• El servidor DNS esclavo tiene dirección IP 192.168.1.2. 
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• El dominio a configurar es dominio.com. 

Por favor, modifique y personalice estos valores en los ejemplos a continuación. Es decir, todos los valores 

resaltados. 

57.3. Procedimientos. 

57.3.1. Políticas de SELinux. 

Es indispensable que SELinux permita al servicio named privilegios de lectura y escritura en los archivos de las 
zonas. Si está activo SELinux, por favor —y si aún no lo ha hecho— active la política que permite la escritura 
de archivos de zona ejecutando lo siguiente: 

setsebool -P named„write_master_zones=l 

57.3.2. Generar y configurar permisos de los archivos de zona. 

Genere el archivo de zona para dominio.com ejecutando lo siguiente: 
touch /var/named/dynamic/dominio .com .zone 

Asigne permisos de lectura y escritura para usuario, sólo lectura para grupo y nada para otros: 

chmod 640 /var/named/dynamic/dominio.com.zone 
Cambie propietario y grupo a named ejecutando lo siguiente: 

chown named:named /var/named/dynamic/dominio.com.zone 


57.3.3. Anada contenido a los archivos de zona. 

Edite el archivo recién creado ejecutando lo siguiente: 


vi /var/named/dynamic/dominio .com. zone 


Afíada el siguiente contenido: 


$TTL 3600 

@ IN SOA . . ( 

2015090801; 

1800; 

900; 

1209600; 

3600; 

) 

@ IN NS 
dnsl IN A 


Lo anterior define un tiempo total de vida predeterminado de 86400 segundos (24 horas), el registro de inicio de 
autoridad o SOA —es decir el dns primario—, el registro NS correspondiente y el registro tipo A para resolver el 
nombre dnsl.dominio.com. 
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Por favor, revise bien la sintaxis y compare línea por línea su archivo con el mostrado arriba. Recuerde que los 
nombres de anfitrión llevan siempre un punto al final. 

57.3.4. Configure zonas en el archivo /etc/named.conf. 

Edite el archivo /etc/named.conf ejecutando lo siguiente: 

vim /etc/named.conf 


Afiada el siguiente contenido para crear la zona maestra para el dominio dominio.com, permitiendo realizar 
cambios en la misma usando la firma digital del servidor y permitiendo a 192.168.1.2 funcionar como servidor 
DNS esclavo para esta misma zona: 


zone "domlnio.com" { 

type master; 

file "dynamic/dominio.com.zone" ; 
allow-update { key "rndc-key"; }; 
allow-transfer { 192.168.1.2; }; 

}; 


Si hay vistas ( vievvs ) configuradas, anada lo anterior en todas las vistas o sólo en la vista deseada. Ejemplo: 
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options { 

directory "/var/named"; 

dump-file "/var/named/data/cache_dump.db"; 
statistics-file "/var/named/data/named_stats.txt"; 
memstatistics-file "/var/named/data/named_mem_stats.txt"; 
managed-keys-directory "/var/named/dynamic"; 
version "BIND"; 
forwarders { 

8 . 8 . 8 . 8 ; 

8.8.4.4; 

}; 

forward first; 

// Sólo habilitar lo siguiente si se va a utilizar DNSSEC 
// y si los servidores en forwarders tienen soporte para DNSSEC. 
dnssec-enable yes; 
dnssec-validation yes; 
dnssec-lookaside auto; 
bindkeys-file "/etc/named.iscdlv.key"; 

}; 

include "/etc/rndc.key"; 
include "/etc/named.root.key"; 

logging { 

channel default_debug { 
file "data/named.run"; 
severity dynamic; 

}; 

category lame-servers { null; }; 
category dnssec { null; }; 

}; 

controls { 

inet 127.0.0.1 allow { 127.0.0.1; } keys { "rndc-key"; }; 

}; 

view "local" { 

match-clients { 

127.0.0.0/8; 

10.0.0.0/8; 

172.16.0.0/12; 

192.168.0.0/16; 

}; 

recursion yes; 

include "/etc/named.rfcl912.zones"; 
zone IN { 
type hint; 
file "named.ca"; 

}; 

zone " " { 

type master; 

file "dynamic/ .zone"; 

allow-update { key "rndc-key"; }; 
allow-transfer { ; }; 

}; 

}; 

view "public" { 

match-clients { any; }; 
recursion no; 
zone IN { 
type hint; 
file "named.ca"; 

}; 

zone " " { 

type master; 

file "dynamic/ .zone"; 

allow-update { key "rndc-key"; }; 
allow-transfer { ; }; 

}; 

}; 
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57.3.4.1. Reiniciar servicio en CentOS 7 y Red Hat™ Enterprise Linux 7. 

Ejecute lo siguiente para reiniciar el servicio named y aplicar los cambios en la configuración: 
systemctl restart named 

57.3.4.2. Reiniciar servicio en CentOS 6 y Red Hat™ Enterprise Linux 6. 

Ejecute lo siguiente para reiniciar el servicio named y aplicar los cambios en la configuración: 
service named restart 

57.3.5. Conecte al servidor DNS con nsupdate. 

Ejecute nsupdate con la opción -k y /etc/rndc.key como argumento para cargar la firma digital del servidor: 
nsupdate -k /etc/rndc.key 

Conecte al servidor DNS en el anfitrión local desde el intérprete de nsupdate ejecutando lo siguiente: 

server 127.0.0.1 

Defina el dominio al cual se realizarán las modificaciones ejecutando lo siguiente: 
zone dominio.com 

Si algo sale mal durante el resto de los procedimientos, tendrá que repetir los tres pasos descritos arriba para 
poder hacer sus correcciones. 

57.3.6. Anadir registros a la zona. 

57.3.6.1. Registros tipo A. 

Los registros tipo A se utilizan para resolver los nombres de anfitrión en la zona del dominio. Por lo general se 
asigna sólo uno a cada anfitrión. Si el mismo anfitrión es accedido utilizando otros nombres, se recomienda se 
haga anadiendo registros tipo CNAME. Sin embargo, ésto es opcional. Pueden agregar cuantos registros tipo A 
como uno guste apuntando hacia una misma dirección IP. 

Afiada registros tipo A a la zona recién creada para resolver el nombre de anfitrión del servidor. Ejemplos a 
continuación. 

Ahada registro tipo A para resolver el nombre de anfitrión del servidor —asumiendo hipotéticamente que éste 
es servidor.dominio.com — ejecutando lo siguiente: 

update add servidor.dominio.com. 86400 A 192.168.1.1 

Consigne el cambio realizado en la zona ejecutando lo siguiente: 
send 
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Aíìada registro tipo A para resolver el nombre dominio.com —es decir el registro predeterminado— ejecutando 
lo siguiente: 

update add dominio.com. 86400 A 192.168.1.1 

Consigne el cambio realizado en la zona ejecutando lo siguiente: 
send 

57.3.6.2. Registros tipo CNAME para los aliases de registros A. 

Los registros CNAME ( alias ) se utilizan para designar otros nombres a un registro A. Idealmente sólo se asigna 
un registro A por nombre de anfitrión. Si existen otros aliases para este mismo anfitrión, se recomienda sean 
tipo CNAME. 

Anada un registro CNAME www apuntando a dominio.com ejecutando lo siguiente: 

update add www.dominio.com. 86400 CNAME dominio.com. 

Consigne el cambio realizado en la zona ejecutando lo siguiente: 
send 

Anada un registro CNAME ( alias ) ftp apuntando a dominio.com ejecutando lo siguiente: 

update add ftp.dominio.com. 86400 CNAME dominio.com. 

Consigne el cambio realizado en la zona ejecutando lo siguiente: 
send 

57.3.6.3. Registros tipo A y MX para Servidor de correo primario. 

Todos los registros destinados para ser utilizados como correo electrónico deben tener un registro tipo A y un 
registro tipo MX. El correo electrónico de anfitriones cuyo único nombre sea resuelto por un registro tipo 
CNAMe será rechazado por la mayoría de los servidores de correo electrónico del resto del mundo. 

Afiada registro tipo A para resolver el nombre mail.dominio.com ejecutando lo siguiente: 

update add mail.dominio.com. 86400 A 192.168.1.1 

Consigne el cambio realizado en la zona ejecutando lo siguiente: 
send 

Defina mail.dominio.com como MX primario ejecutando lo siguiente: 

update add dominio.com. 86400 MX 10 mail.dominio.com. 

Consigne el cambio realizado en la zona ejecutando lo siguiente: 
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send 

57.3.6.4. Registros A y MX para Servidor de correo secundario. 

Asumiendo hipotéticamente que 192.168.1.2 está configurado como servidor de correo secundario para 
dominio.com, anada registro tipo A para resolver el nombre maM2.dominio.com ejecutando lo siguiente: 

update add Diail2.dominio.com. 86400 A 192.168.1.2 

Consigne el cambio realizado en la zona ejecutando lo siguiente: 
send 

Defina mail2.dominio.com como MX secundario ejecutando lo siguiente: 

update add dominio.com. 86400 MX 20 mail2.dominio.com. 

Consigne el cambio realizado en la zona ejecutando lo siguiente: 
send 

57.3.6.5. Registros A y NS para Servidor DNS secundario. 

Afiada registro tipo A para resolver el nombre dns2.dominio.com ejecutando lo siguiente: 

update add dns2.dominio.com. 86400 A 192.168.1.2 

Consigne el cambio realizado en la zona ejecutando lo siguiente: 
send 

Defina dns2.dominio.com como DNS secundario utilizando un registro NS ejecutando lo siguiente: 
update add dominio.com. 86400 NS dns2.dominio.com. 

Consigne el cambio realizado en la zona ejecutando lo siguiente: 
send 

57.3.6.6. Registro TXT para SPF. 

En la actualidad se pide cubrir varias validaciones para considerar un dominio bien configurado. Uno de los 
requisitos es contar un registro SPF. 

SPF (Sender Policy Framework) o Marco de directivas de remitente es un tipo de registro que identifica los 
servidores de correo que pueden enviar mensajes en nombre de un dominio en particular. 

Defina un registro TXT para dominio.com con el valor "v=spfl a mx ~all" ejecutando lo siguiente: 
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update add dominio.com. 86400 TXT "v=spfl a mx ip4:192.168.1.1 ip4:192.168.1.2 -all". 
Consigne el cambio realizado en la zona ejecutando lo siguiente: 


send 


Lo anterior define que se consideran servidores autorizados para enviar correo de dominio.com a: 

1. Todos los anfitriones con registro tipo A y tipo MX en la zona del dominio. 

2. Los anfitriones con direcciones IPv4 192.168.1.1 o 192.168.1.2. 

Con -all se indica a los servidores de correo electrónico del resto del mundo que se descarte cualquier mensaje 
de correo electrónico proveniente de anfitriones que incumpla con alguna de estas dos condiciones. 

Los registros DKIM y DMARC se pueden afiadir del mismo modo. Sin embargo para ambos es necesario 
configurar primero el servidor de correo electrónico con soporte para DKIM antes de hacerlo, de otro modo el 
correo electrónico sería rechazado por el resto de los servidores de correo electrónico del mundo. Ese 
procedimiento se describe junto con el tema de DKIM en otro documento. Nsupdate sólo puede anadir registros 
para DKIM con firmas de hasta 1024 bits. Para anadir firmas de 2048 en adelante es necesario seguir otro 
procedimiento documentado en el tema correspondiente a DKIM. 

57.3.6.7. Salir del intérprete de nsupdate. 

Asumiendo que pudo ahadir exitosamente todos los registros del los procedimientos descritos anteriormente, 
salga del intérprete de nsupdate ejecutando lo siguiente: 


quit 


57.3.6.8. Corrección de registros. 

Si cometió errores y necesita modificar registros, vuelva a conectarse con nsupdate. Ejemplo: 


[root@cursocentos -]# nsupdate -k /etc/rndc.key 

> server 127.0.0.1 

> zone 

> 


Luego ejecute la misma instrucción utilizada para crear el registro equivocado pero usando delete en lugar de 
add. Ejemplos 


update delete error.dominio.com. 86400 A 192.168.1.3 
update delete dominio.com. 86400 NS error.dominio.com. 
update delete dominio.com. 86400 MX 30 error.dominio.com. 


Consigne los cambios realizados en la zona ejecutando lo siguiente: 
send 


Salga del intérprete de nsupdate ejecutando lo siguiente: 


quit 
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57.3.7. Comprobaciones. 

Valide los registros creados realizando consultas con dig y host: 


dig dominio.com SOA 
dig dominio.com NS 
dig dominio.com MX 

host dnsl.dominio.com 
host dns2.dominio.com 
host dominio.com 
host www.dominio.com 
host mail.dominio.com 


57.3.8. Configuración de servidor DNS esclavo. 

El servidor DNS esclavo debe estar configurado del mismo modo gue preparó el servidor DNS primario antes 
de anadir las zonas. Es decir, con una configuración básica que incluye utilizar el archivo plantilla, actualizar el 
cache de servidores raíz y generar firma digital para el servidor. 

Conecte a través de SSH como administrador hacia el servidor esclavo en 192.168.1.2 ejecutando lo siguiente: 

ssh root@192.168.1.2 


Si esa activo SELinux, por favor active la política que permite la escritura de archivos de zona ejecutando lo 
siguiente: 


setsebool -P named__write_master_zones=l 


Edite el archivo /etc/named.conf: 


vim /etc/named.conf 


De modo similar a como realizó el procedimiento en el servidor maestro, por favor anada la configuración de 
zona esclava para dominio.com, usando como maestro a 192.168.1.1: 

zone "dominio.com" { 

type slave; 

file "slaves/dominio.com. zone"; 
masters { 192.168.1.1; }; 
allow-transfer { 192.168.1.1; }; 


Reinicie el servicio named: 


service named restart 


Lo anterior realizará automáticamente la transferencia del archivo de zona. 


Conecte al servidor DNS secundario utilizando nsupdate del mismo modo que hizo en el servidor DNS maestro. 
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[root@cursocentos -]# nsupdate -k /etc/rndc.key 

> server 127.0.0.1 

> zone 

> 


Ejecute lo siguiente sólo para forzar manualmente la transferencia: 
rndc retransfer dominio.com 

También puede usar refresh en lugar de retransfer para forzar manualmente la transferencia pero utilizando 
una cola de procesamiento que es útil en caso de tratarse de varias zonas: 

rndc refresh dominio.com 

Si la zona se localiza en una vista en particular, como por ejemplo local o public, pude definir la vista 
correspondiente. Ejemplo: 

rndc refresh dominio.com in local 

Valide de nuevo los registros realizando consultas con dig y host hacia 127.0.0.1. 

Si todo salió bien, salga del intérprete de nsupdate ejecutando lo siguiente: 
quit 

Salga de la sesión SSH del servidor DNS esclavo. 

Si todo salió bien, salga del intérprete de nsupdate ejecutando lo siguiente: 
exit 

57.4. Lecturas posteriores. 

Por favor continúe con el documento titilado «Configuración de DNSSEC en zonas dinámicas». 
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58.1. Introducción. 

Este documento requiere se dominen perfectamente los conceptos explicados en el documento titulado 
«Introducción al protocolo DNS», haber realizado la configuración básica de Bind como se describe en el 
documento titulado «Có/no configurar un servidor de nombres de dominio (DNS)» y haber realizado los 
procedimientos descritos en el documento titulado « Administración de zonas de DNS con nsupdate .» . 

58.1.1. Acerca de DNSSEC. 

DNSSEC (Domain Name System Security Extensions o Extensiones de para el Sistema de Nombres de 
Dominio) es un conjunto de especificaciones de la creados por la IETF (Internet Engineering Task Force o 
Grupo de trabajo de ingeniería de Internet) para garantizar cierto tipo de información proporcionada a través del 
protocolo DNS a través de un conjunto de extensiones que proporcionan a los clientes DNS la autenticación del 
origen de datos DNS, autenticación de la negación de la existencia e integridad de datos, excluyendo la 
disponibilidad o confidencialidad. 

Funciona firmando digitalmente los registros de DNS y validando éstos a través de tres elementos: un registro 
DNSKEY, una cadena de confianza y un conjunto de claves públicas en la zona raíz ('.'). El registro DNSKEY se 
valida a través de la cadena de confianza y ésta a su vez se valida con las claves públicas en la zona raíz del 
servidor DNS. Al comprobar la firma digital se puede validar si la información de la consulta DNS es idéntica a la 
del servidor DNS autoritario correspondiente al domino que se consulta. 

El protocolo DNS fue disenado originalmente para ser un sistema distribuido escalable, pero con funciones de 
seguridad muy básicos. DNSSEC fue disenado específicamente para proteger a los clientes de la falsificación 
de datos de DNS, como puede ocurrir durante un ataque para contaminar el de caché de un servidor DNS. 

Imagine que utiliza un servicio bancario hospedado en un servidor con un nombre de dominio que apunta hacia 
una IP particular. Ahora imagine que un atacante consigue vulnerar la seguridad del servidor DNS de su 
proveedor de acceso a Internet y consigue que el nombre de dominio de ese servicio bancario ahora apunte 
hacia otra dirección IP que corresponde a un servidor destinado a enganar al usuario para que éste proporcione 
sus datos personales. DNSSEC protege contra este tipo de casos. 

58.2. Procedimientos. 

58.2.1. Servicio haveged. 

Es importante destacar que sin haveged el proceso para generar las firmas digitales demorará muchísimo. Es 
un servicio que se ejecuta en el espacio de usuario que es independiente a los mecanismos estándar para 
recolectar aleatoriedad para el almacén de entropía del sistema. Es una fuente de entropía para el algoritmo 
HEVEGE. 
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ALDOS y Fedora™ ya incluyen lo necesario para realizar la instalación del paquete necesario. Si utiliza 
CentOS o Hat™ Enterprise Linux, utilice el almacén YUM de Alcance Libre para servidores en producción, 
descargando el archivo http://www.alcancelibre.org/al/server/AL-Server.repo dentro del directorio 
/etc/yum.repos.d/: 


wget -N http://www.alcancelibre.org/al/server/AL-Server.repo \ 
-P /etc/yum.repos.d/ 


Examine el contenido del archivo /etc/yum.repos.d/AL-Server.repo: 


vi /etc/yum.repos.d/AL-Server.repo 


El contenido debe ser el siguiente: 


[AL-Server] 

name=AL Server para Enterprise Linux Sreleasever 

mirrorlist=http://www.alcancelibre.org/al/el$releasever/al-server 

gpgcheck=l 

gpgkey=http://www.alcancelibre.org/al/AL-RPM-KEY 


Salga del editor de texto. 

Ejecute lo siguiente para instalar el paquete haveged: 


yum -y install haveged 


58.2.1.1. Activación e inicio de servicio en ALDOS, CentOS 5 y 6 y Red Hat™ Enterprise Linux 
5 y 6. 

Ejecute lo siguiente para active el servicio haveged y que éste inicie junto con el sistema: 

chkconfig haveged on 
Inicie el servicio haveged: 

service haveged start 

58.2.1.2. Activación e inicio de servicio en CentOS 7 y Red Hat™ Enterprise Linux 7. 

Ejecute lo siguiente para active el servicio haveged y que éste inicie junto con el sistema: 

systemctl enable haveged 
Inicie el servicio haveged: 

systemctl start haveged 

58.2.2. Creación de firmas ZSK y KSK. 

El procedimiento es el mismo para todas las distribuciones y versiones de ALDOS, CentOS, Fedora™ y Red 
Hat™ Enterprise Linux. 
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Ejecute lo siguiente para crear el directorio /var/named/keys: 

mkdir -m 750 /var/named/keys 

Ejecute lo siguiente para cambiar la pertenencia de este directorio al grupo named: 
chgrp named /var/named/keys 


Ejecute lo siguiente para crear la firma ZSK (Zone Signing Key) dentro del directorio /var/named/keys, 
utilizando el algoritmo NSEC3RSASHA1, un tamano de 2048 bits y tipo ZONE para dominio.com: 


dnssec-keygen -K /var/named/keys \ 
-a NSEC3RSASHA1 \ 

-b 2048 -n ZONE \ 

dominio.com 


Ejecute lo siguiente para crear la firma KSK (Key Signing Key) dentro del directorio /var/named/keys, con 
bandera KSK, utilizando el algoritmo NSEC3RSASHA1, un tamano de 4096 bits y tipo ZONE para 
dominio.com: 


dnssec-keygen -K /var/named/keys \ 
-f KSK \ 

-a NSEC3RSASHA1 \ 

-b 4096 -n ZONE \ 

dominio.com 


Ejecute lo siguiente para cambiar los permisos a lectura y escritura para usuario, sólo lectura para grupo y nada 
para el resto del mundo: 


chmod 640 /var/named/keys/{*.key,*.private} 


Ejecute lo siguiente para cambiar la pertenencia de los archivos al grupo named: 


chgrp named /var/named/keys/{*.key,*.private} 


58.2.3. Firma de la zona dinámica. 

Primero ejecute lo siguiente para congelar la zona dinámica. 
rndc freeze dominio.com 

Ejecute lo siguiente para aríadir el contenido de los archivos *.key creados al archivo de zona del dominio a 
configurar: 

cat /var/named/keys/Kdominio .com* .key \ 

/var/named/dynamic/dominio .com .zone 

Ejecute lo siguiente para descongelar la zona dinámica. 
rndc thaw dominio.com 
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Ejecute lo siguiente para generar una firma digital de usuario que será utilizada para administrar la zona 
dinámica: 

dnssec-keygen -r /dev/urandom -a HMAC-MD5 -b 512 -n USER alguien.dominio.com 
Ejecute lo siguiente para ver el contenido de la firma pública: 

cat Kalguien.dominio.com .+157+60657.private 

La salida será similar a la siguiente: 

alguien.dominio.com. IN KEY 0 3 157 

NSq9NLqJvI73py/P7SYSffShVWX0IaNVLzsCSChVeaoQTn/lIDTimqZE 

ruXWq0zC0Mb4EUfI+nLrQ8BYylZMaw== 

Ejecute lo siguiente para generar el archivo /etc/named.dnssec.keys: 

vi /etc/named.dnssec.keys 

Afiada el siguiente contenido especificando la cadena de texto correspondiente a la firma digital de usuario: 


key "alguien.dominio.com." { 
algorìthm hmac-md5; 

secret "NSq9NLqJvI73py/P7SYSffShVWX0IaNVLzsCSChVeaoQTn/lIDTimqZEruXWq0zC0Mb4EUfI+nLrQ8BYylZMaw~" ; 

}; 


Ejecute lo siguiente para cambiar los permisos del archivo /etc/named.dnssec.keys a lecura y escritura para 
usuario, sólo lectura para grupo y nada para otros: 


chmod 640 /etc/named.dnssec.keys 


Ejecute lo siguiente para cambiar la pertenencia del archivo /etc/named.dnssec.keys al grupo named: 


chown root:named /etc/named.dnssec.keys 


Edite el archivo /etc/named.conf: 

vim /etc/named.conf 

Verifique que esté presente todo lo resaltado en negrita, anada o modifique lo que esté resaltado en rojo y 
reemplace las incidencias de dominio.com por las de su propio dominio: 
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options { 

directory "/var/named"; 

dump-file "/var/named/data/cache_dump.db"; 
statistics-file "/var/named/data/named_stats.txt"; 
memstatistics-file "/var/named/data/named_mem_stats.txt"; 

managed-keys-directory "/var/named/dynamic"; 

forwarders { 

8 . 8 . 8 . 8 ; 

8.8.4.4; 

}; 

forward first; 
version "BIND"; 

dnssec-enable yes; 
dnssec-validation yes; 
dnssec-lookaside auto; 
bindkeys-file "/etc/named.iscdlv.key"; 

}; 

include "/etc/rndc.key"; 

include "/etc/named.root.key"; 
include "/etc/named.dnssec.keys"; 

logging { 

channel default_debug { 

file "data/named.run"; 
severity dynamic; 

}; 

category lame-servers { null; }; 

}; 

controls { 

inet 127.0.0.1 allow { 127.0.0.1; } keys { "rndc-key"; }; 

}; 

view "local" { 

match-clients { 

127.0.0.0/8; 

10.0.0.0/8 

172.16.0.0/12; 

192.168.0.0/16; 

}; 

recursion yes; 

include "/etc/named.rfcl912.zones"; 
zone IN { 

type hint; 
file "named.ca"; 

}; 

zone "dominio.com" { 

type master; 

file "dynamic/dominio.com .zone"; 
allow-update { key "alguien.dominio.com."; }; 
key-directory "/var/named/keys"; 
auto-dnssec maintain; 
inline-signing yes; 

}; 

}; 

view "public" { 

match-clients { any; }; 
recursion no; 
zone IN { 

type hint; 
file "named.ca"; 

}; 

}; 


Reinicie el servicio named para aplicar los cambios. 

Ejecute lo siguiente si utiliza ALDOS, CentOS 6 o Red Hat™ Enterprise Linux 6: 
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service named restart 

Ejecute lo siguiente si utiliza CentOS 7 o Red Hat™ Enterprise Linux 7: 
systemctl restart named 

Ejecute lo siguiente para congelar la zona dinámica: 
rndc freeze dominio.com 

Ejecute lo siguiente para firmar la zona con NSEC3 generando automáticamente una cadena de texto aleatorio 
en hexadecimal: 


rndc signing -nsec3param 1 0 10 \ 

'head -c 1000 /dev/urandom | shalsum | cut -b 1-16' \ 

dominio.com 


Ejecute lo siguiente para descongelar la zona dinámica: 


rndc thaw dominio.com 


Ejecute lo siguiente para utilizar nsupdate con la firma digital de usuario: 


nsupdate -k Kalguien.dominio.com. +157+60657.private 


Ejecute lo siguiente en el intérprete de nsupdate para ahadir un registro tipo A: 


server 127.0.0.1 
zone dominio.com 

update add ml06.dominio.com. 86400 A 192.168.70.106 
send 


Ejecute lo siguiente para verificar lo ocurrido en segundo plano consultando el archivo de registro del sistema: 


tail -80 /var/log/messages |grep named 


58.2.3.1. Registros DS de la zona dinámica. 

Si se trata de un dominio para red pública, serán necesarios los registros DS correspondientes a la zona. 
Ejecute lo siguiente para obtener éstos: 


dig @127.0.0.1 dnskey dominio.com | \ 
dnssec-dsfromkey -f - dominio.com 


La salida será similar a la siguiente. 


dominio.com. IN DS 30105 7 1 8C9F1858F5A630C3E2B1B0E064C7B011BC77FF82 

dominio.com. IN DS 30105 7 2 678D519A461A53EB78779166F0A0439B4E6E44FCD5E7AD8E57D23D0F6136C767 


542 







Joel Barrios Duenas 


Configuración de Servidores con GNU/Linux 


Esta es la información que se debe proporcionar al NIC. DNSSEC requiere una cadena de confianza que se 
publica en el nivel raíz del dominio de nivel superior al que pertenezca el dominio —es decir en los 
servidores raíz del NIC—. Estas cadenas se utilizan para validar la zona con DNSSEC. 


Ejecute lo siguiente para guardar esta información en un archivo: 


dig @127.0.0.1 dnskey dominio.com | \ 
dnssec-dsfromkey -f - dominio.com > \ 
/var/named/keys/dsset-dominio .com. 


58.2.3.2. Renovación de cadena aleatoria hexadecimal para NSEC3. 

La enumeración de zona —que también se conoce como zorte walking — es una técnica utilizada para 
encontrar todos registros RR —registros de Recurso— de una zona al realizar una consulta el registro NSEC de 
la zona. NSEC3 oculta esta información con código utilizando una cadena de texto aleatorio en hexadecimal, lo 
cual dificulta la enumeración de la zona, pero sin imposibilitar ésta. Un atacante con determinación puede 
recurrir a tablas arcoíris para romper esta codificación, sin embargo ésto puede demorar considerablemente 
aún con equipo de cómputo de gran poder. Para impedir que ésto ocurra es que se recomienda volver a 
computar la cadena de texto aleatorio en hexadecimal en intervalos regulares. 

Ejecute lo siguiente para consultar el valor actual del registro NSEC3PARAM: 


dig @127.0.0.1 NSEC3PARAM dominio.com +short 


La salida debe ser similar a la siguiente: 


1 0 10 EC59FF1470068907 


Ejecute lo siguiente para generar un nuevo archivo denominado /usr/sbin/dynzonesigner.sh: 

vi /usr/sbin/dynzonesigner.sh 
Afiada el siguiente contenido: 

#!/bin/bash 

SALT='head -c 1000 /dev/urandom | shalsum | cut -b 1-16' 

/usr/sbin/rndc freeze $1 

/usr/sbin/rndc signing -nsec3param 1 0 10 $SALT $1 
/usr/sbin/rndc thaw $1 


Ejecute lo siguiente para hacer ejecutable el programa: 
chmod +x /usr/sbin/dynzonesigner.sh 


Pruebe que funciona ejecutando lo siguiente: 
dynzonesigner.sh dominio.com 


Espere unos segundos y ejecute lo siguiente para consultar nuevamente el valor del registro NSEC3PARAM: 

dig @127.0.0.1 NSEC3PARAM dominio.com +short 
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La salida debe ser similar a la siguiente, dónde el valor del registro NSEC3PARAM es diferente al de hace unos 
instantes: 

1 0 10 89473870BEECC103 

Ejecute lo siguiente para afiadir una tarea programada: 
crontab -e 

Afíada el siguiente contenido: 

0 0 */3 * * /usr/sbin/dynzonesigner.sh dominio.com > /dev/null 

Lo anterior hará que se cambie el valor del registro NSEC3PARAM y renovará las firmas cada 3 días, haciendo 
fútil cualquier intento de enumerar la zona —que también se conoce como zone walking — y romper el cifrado 
utilizando tablas arcoíris pues se carecerá del tiempo suficiente para lograrlo. 

58.2.3.3. Integración con servidor DHCP. 

La integración sólo requiere cambiar la firma digital por la generada para administrar la zona con DNSSEC. 

Edite el archivo /etc/dhcp/dhcpd.conf: 

vim /etc/dhcp/dhcpd.conf 

Afiada: include "/etc/named.dnssec.keys"; y cambie key rndc-key por key alguien.dominio.com en las zonas 
gestionadas por el servidor DNS. Ejemplo: 
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ddns-update-style interim; 

ddns-updates on; 

ddns-domainname "dominio.com. "; 

ddns-rev-domainname "in-addr.arpa."; 

ignore client-updates; 

authoritative; 

default-lease-time 900; 

max-lease-time 7200; 

option ip-forwarding off; 

option domain-name "dominio.com"; 

option ntp-servers 0.pool.ntp.org, 1.pool.ntp.org, 2.pool.ntp.org, 3. pool.ntp.org; 

include "/etc/rndc.key"; 

include "/etc/named.dnssec.keys"; 

zone localdomain. { 

primary 127.0.0.1; 
key rndc-key; 

zone 16.172.in-addr.arpa. { 
primary 127.0.0.1; 
key alguien.dominio.com .; 

} 

zone dominio.com. { 

primary 127.0.0.1; 

key alguien.dominio.com .; 

} 

shared-network redlocal { 

subnet 172.16.1.0 netmask 255.255.255.0 { 
option routers 172.16.1.1; 
option subnet-mask 255.255.255.0; 
option broadcast-address 172.16.1.255; 
option domain-name-servers 172.16.1.1; 
option netbios-name-servers 172.16.1.1; 
range 172.16.1.2 172.16.1.254; 

} 

} 


Reinicie el servicio dhcpd para aplicar los cambios: 

service dhcpd restart 

58.2.4. Comprobaciones. 

Ejecute lo siguiente para verificar el registro DNSKEY: 

dig @127.0.0.1 DNSKEY dominio.com. +multiline 

La salida debe ser similar a la siguiente: 
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; «» DiG 9.9.4-AlcanceLibre-9.9.4-18. f cl4. al. 6 «» @127.0.0.1 DNSKEY doininio.com 
; (1 server found) 

;; global options: +cmd 
;; Got answer: 

;; -»HEADER«- opcode: QUERY, status: NOERROR, id: 10563 

;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1 

;; OPT PSEUDOSECTION: 

; EDNS: version: 0, flags:; udp: 4096 
;; QUESTION SECTION: 

;dominio.com. IN DNSKEY 

;; ANSWER SECTION: 

dominio.com. 86400 IN DNSKEY 257 3 7 AwEAAcO20KOMYCJiWsr4M 
ppeUqy+fUTqgDMkcuDvj kJlfSLigEvAKfj L B3BlZ0tZ61SodksWyB5nGEgyNuUnii//aAJzRq/ 
QubzL6m+x2UNHlh6m OXMddci7DGdiJzHU+weldroX0DlJJ8LZ3yTi0cMXlbJlPwsGXpqq64V6 
5Df+/Lc8RvmWKHqA64sbGb9yzoKbZyyHbFyFfqBBLEVHPR7tms7BJdmq D9sdbi2I5EMsvENSm7 
WezOAimwGiRb2jvnn9oKIKHmrTVJUnbz7w8Qy+ FxjHr3cdWvNTkK8UfjWQL0E0bBXYocwCX7Uz 
SoJ+oJcTnlkyHkASGKBl 05u0qphHOyflOiVrvnQn/oHYUZN9CnQcVnq4TSbiCJ2lriXpLAOKf/ 
VXm6Nkts6owveTxXjiHhWiMoLGC5VTlL9HX540FYu5iNNgL2XHjmchZePQ axwASnqrinRYswyH 
CINVvLSZ8ZUGLQ9KGAclUqbIUhZUPacECBQ/ii6q Z8tujiSRE5TNVXL3um8twQBZAlxUR68DIM 
VSTNXzBNa+Yfg9B56+5dp0 +DzLi4BBa6+cv0IWSfuHyDlUIPqaup80XkRYqGvNWLEYCg4K0pnT 
GFak IO2VGbNjx4euO3FI0X6EbGgyDXz9pSQafs5o9PLysRBt62SqNfCTRU/B 6bYr+/cH 
ITbZcYJV 

dominio.com. 86400 IN DNSKEY 256 3 7 AwEAAexxltSbhQV10ZmMz 
NE3k641+/GdhPcIyLyiQzrSwEJTzjYVnpov FMGxRTVKmMGV3h+FpbkavjHaNqTgkA4Me/goywi 
KPfaenW31M0lFR6Ql rEFzldh7ittGNItkqfW+QFYKdipNgz3QXIYmlYJDFX8tRWa/CZUgm2eO 
VEHDkigJKxvft+X9G9jWHaYXmlKFZI+o9rSMv4gH5yScSK4kA4dWb4b5 MJrJyhpKwYtIErqtAL 
SRkYnZpMuihy858xSPiUFsvlpj7kBq7kxAS4Zt fBnw/VlnFa6LW9RCgKRYMXysuq5qxzgQzfLq 
d28wrtu3bn5cRjEdRShf FpMAF2HNZHc= 

;; Query time: 1 msec 

;; SERVER: 127.0.0.1#53(127.0.0.1) 

;; WHEN: jue sep 10 12:05:42 CDT 2015 
;; MSG SIZE rcvd: 856 


Ejecute lo siguiente para verificar los registros RRSIG: 


dig @127.0.0.1 A dominio.com. +noadditional +dnssec +multiline 


La salida debe ser similar a la siguiente: 
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; «» DiG 9.9.4-AlcanceLibre-9.9.4-18.fcl4.al.5 «» @127.0.0.1 A dominio.com. +noaddit 
ional +dnssec +multiline 
; (1 server found) 

;; global options: +cmd 
;; Got ansvver: 

;; -»HEADER«- opcode: QUERY, status: NOERROR, id: 3822 

;; flags: qr aa rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 4, ADDITIONAL: 1 

;; OPT PSEUDOSECTION: 

; EDNS: version: 0, flags: do; udp: 4096 
;; QUESTION SECTION: 
jdominio.com. IN A 

;; AUTHORITY SECTION: 

dominio.com. 86400 IN SOA joel-laptop.dominio.com. root.localhost. ( 

2015090716 ; serial 

14400 ; refresh (4 hours) 

3600 ; retry (1 hour) 

608400 ; expire (1 week 1 hour) 

86400 ; minimum (1 day) 

) 

dominio.com. 86400 IN RRSIG SOA 7 3 86400 ( 

20151008054158 20150908044158 34337 dominio.com. 

5om71jZTSNh7q/fwh/RLhYXLQhcj ecJtddu+MU/5hSnw 
gJcWjvCbSPEH9InsuqB+FxD/5oxTyAYIyzwSBc770sCH 
Jb0UDZulgYksbvK/aud6iNzZNhtdazJF78HyJDvWOr9D 
LogY5i+N+W9DjVVyKkZ6++4293Ww/qwLQ+mDPChhl7gS 
Mzp+IJX/9soM36wuCmlQ0FQjtj 2zutvK50flORW/CkEM 
PH+RNHVDWxFE6HIYGLi2UdNLaXznTLMszaLE3tatdYVn 
ylgSqXYStPcoSgy0/I+CA309Rg67DnLfBPR2D0RAx7cn 
S50IbVsJRxf+raNZ/4wyTQbOgeym+I2QlQ== ) 

BPTTHPDNQOJ9FLT4VNPUF0MIP53262MH.dominio.com. 86400 IN NSEC3 1 1 10 CBACBF9FD57480BF ( 
BQUETAVA861ULUFSARKVQFE5IHSHV2BD 
NS SOA MX TXT RRSIG DNSKEY NSEC3PARAM SPF ) 
BPTTHPDNQOJ9FLT4VNPUF0MIP53262MH.dominio.com. 86400 IN RRSIG NSEC3 7 4 86400 ( 
20151008040542 20150908040542 34337 dominio.com. 
4Gs33QtvBF3melTLlk+jlb30JLd2LFGl+4vnTliP/gxN 
7EJNmYsYPTmZeNdyC3fSJiyj8GVd63Jow+Vc3YxZ5Pu4 
dKNYDZ84IqHvYDNJ90oIfDouJ7DqUYvFrDouptbzIyxt 
TY6HaVKzS9LtE0jDKN76Aj 0 ZFReZ/igC 8 j s0Q426MzXi 
WHZ7fEPX9SXIBrMqadm28fzCuoY+nyjRlAvTnQ0qvd+O 
XFxL/e4JtaLnUD8XiIgGK24JvqHGiyCRZy+kyc3/nlAc 
xp5UihlZXtEkKUpAfNARwtWBncRcX/Rykt31ogDf0Br5 
/Ee9ufpK8V48HLiO/IdT0alOkZzNTq4LKg== ) 

;; Query time: 7 msec 

;; SERVER: 127.0.0.1#53(127.0.0.1) 

;; WHEN: mar sep 08 17:35:08 CDT 2015 
;; MSG SIZE rcvd: 818 


58.3. Bibliografia: 

• https://access.redhat.com/documentation/en- 
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59.1. Introducción. 

Este documento requiere se dominen perfectamente los conceptos explicados en el documento titulado 
«Introclucción al protocolo DNS » y haber realizado la configuración básica de Bind como se describe en el 
documento titulado « Cómo configurar un servidor de nombres de dominio (DNS)». 

59.1.1. Acerca de DNSSEC. 

DNSSEC (Domain Name System Security Extensions o Extensiones de seguridad para el Sistema de Nombres 
de Dominio) es un conjunto de especificaciones de la creados por la IETF (Internet Engineering Task Force o 
Grupo de trabajo de ingeniería de Internet) para garantizar cierto tipo de información proporcionada a través del 
protocolo DNS a través de un conjunto de extensiones que proporcionan a los clientes DNS la autenticación del 
origen de datos DNS, autenticación de la negación de la existencia e integridad de datos, excluyendo la 
disponibilidad o confidencialidad. 

Funciona firmando digitalmente los registros de DNS y validando éstos a través de tres elementos: un registro 
DNSKEY, una cadena de confianza y un conjunto de claves públicas en la zona raíz ('.'). El registro DNSKEY se 
valida a través de la cadena de confianza y ésta a su vez se valida con las claves públicas en la zona raíz del 
servidor DNS. Al comprobar la firma digital se puede validar si la información de la consulta DNS es idéntica a la 
del servidor DNS autoritario correspondiente al domino que se consulta. 

El protocolo DNS fue disenado originalmente para ser un sistema distribuido escalable, pero con funciones de 
seguridad muy básicos. DNSSEC fue disenado específicamente para proteger a los clientes de la falsificación 
de datos de DNS, como puede ocurrir durante un ataque para contaminar el de caché de un servidor DNS. 

Imagine que utiliza un servicio bancario hospedado en un servidor con un nombre de dominio que apunta hacia 
una dirección IP particular. Ahora imagine que un atacante consigue vulnerar la seguridad del servidor DNS de 
su proveedor de acceso a Internet y consigue que el nombre de dominio de ese servicio bancario ahora apunte 
hacia otra dirección IP que corresponde a un servidor destinado a enganar al usuario para que éste proporcione 
sus datos personales. DNSSEC protege contra este tipo de casos. 

59.2. Procedimientos. 

59.2.1. Servicio haveged. 

Es importante destacar que sin haveged el proceso para generar las firmas digitales demorará muchísimo. Es 
un servicio que se ejecuta en el espacio de usuario que es independiente a los mecanismos estándar para 
recolectar aleatoriedad para el almacén de entropía del sistema. Es una fuente de entropía para el algoritmo 
HEVEGE. 
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ALDOS y Fedora™ ya incluyen lo necesario para realizar la instalación del paquete necesario. Si utiliza 
CentOS o Red Hat™ Enterprise Linux, utilice el almacén YUM de Alcance Libre para servidores en 
producción, descargando el archivo http://www.alcancelibre.org/al/server/AL-Server.repo dentro del 
directorio /etc/yum.repos.d/: 


wget -N http://www.alcancelibre.org/al/server/AL-Server.repo \ 
-P /etc/yum.repos.d/ 


Examine el contenido del archivo /etc/yum.repos.d/AL-Server.repo: 


vi /etc/yum.repos.d/AL-Server.repo 


El contenido debe ser el siguiente: 


[AL-Server] 

name=AL Server para Enterprise Linux Sreleasever 

mirrorlist=http://www.alcancelibre.org/al/el$releasever/al-server 

gpgcheck=l 

gpgkey=http://www.alcancelibre.org/al/AL-RPM-KEY 


Salga del editor de texto. 

Ejecute lo siguiente para instalar el paquete haveged: 


yum -y install haveged 


59.2.1.1. Activación e inicio de servicio en ALDOS, CentOS 5 y 6 y Red Hat™ Enterprise Linux 
5 y 6. 

Ejecute lo siguiente para active el servicio haveged y que éste inicie junto con el sistema: 

chkconfig haveged on 
Inicie el servicio haveged: 

service haveged start 

59.2.1.2. Activación e inicio de servicio en CentOS 7 y Red Hat™ Enterprise Linux 7. 

Ejecute lo siguiente para active el servicio haveged y que éste inicie junto con el sistema: 

systemctl enable haveged 
Inicie el servicio haveged: 

systemctl start haveged 

59.2.2. Creación de firmas ZSK y KSK. 

El procedimiento es el mismo para todas las distribuciones y versiones de ALDOS, CentOS, Fedora™ y Red 
Hat™ Enterprise Linux. 
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Ejecute lo siguiente para crear el directorio /var/named/keys: 

mkdir -m 750 /var/named/keys 

Ejecute lo siguiente para cambiar la pertenencia de este directorio al grupo named: 
chgrp named /var/named/keys 


Ejecute lo siguiente para crear la firma ZSK (Zone Signing Key) dentro del directorio /var/named/keys, 
utilizando el algoritmo NSEC3RSASHA1, un tamano de 2048 bits y tipo ZONE para dominio.com: 


dnssec-keygen -K /var/named/keys \ 
-a NSEC3RSASHA1 \ 

-b 2048 -n ZONE \ 

dominio.com 


Ejecute lo siguiente para crear la firma KSK (Key Signing Key) dentro del directorio /var/named/keys, con 
bandera KSK, utilizando el algoritmo NSEC3RSASHA1, un tamano de 4096 bits y tipo ZONE para 
dominio.com: 


dnssec-keygen -K /var/named/keys \ 
-f KSK \ 

-a NSEC3RSASHA1 \ 

-b 4096 -n ZONE \ 

dominio.com 


Ejecute lo siguiente para cambiar los permisos a lectura y escritura para usuario, sólo lectura para grupo y nada 
para el resto del mundo: 


chmod 640 /var/named/keys/{*.key,*.private} 


Ejecute lo siguiente para cambiar la pertenencia de los archivos al grupo named: 


chgrp named /var/named/keys/{*.key,*.private} 


59.2.3. Firma de zonas estáticas. 

Ejecute lo siguiente para aríadir el contenido de los archivos *.key creados al archivo de zona del dominio a 
configurar: 


cat /var/named/keys/Kdominio .com* .key \ 
» /var/named/dominio.com.zone 


Ejecute lo siguiente para firmar la zona con NSEC3 generando automáticamente una cadena de texto aleatorio 
en hexadecimal —utilizado para mejorar el algoritmo con el que se firmará la zona—, generando el archivo con 
los registros DS y buscando las firmas digitales dentro del directorio /var/named/keys, incrementando el 
número de serie existente en el archivo de zona correspondiente e las imprimiendo las estadísticas 
correspondientes: 
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dnssec-signzone -A \ 

-3 'head -c 1000 /dev/urandom | shalsum | cut -b 1-16' \ 
-d /var/named/keys \ 

-K /var/named/keys \ 

-N INCREMENT \ 

-o dominio.com -t \ 

/var/named/dominio.com .zone 


Lo anterior guardará los registros DS dentro de un archivo dsset-* dentro del directorio /var/named/keys. Estos 
registros se proporcionan al NIC después de terminar el procedimiento. Ejecute lo siguiente para ver el 
contenido del archivo correspondiente: 


cat dsset-dominio.com. 


La salida debe ser similar a la siguiente: 


dominio.com. IN DS 30105 7 1 98CF074D65541468A823761940F856B6F7B7A22E 

dominio.com. IN DS 30105 7 2 

3EB36939F662D8F57D2CCA7155F8D0BCCCA7DD5F9FA24BD6E56372CA 46C8E785 


Esta es la información que se debe proporcionar al NIC. DNSSEC requiere una cadena de confianza que se 
publica en el nivel raíz ('.') del dominio de nivel superior al que pertenezca el dominio —es decir en los 
servidores raíz del NIC—. Estas cadenas se utilizan para validar la zona con DNSSEC. 


Edite el archivo /etc/named.conf: 


vi /etc/named.conf 


Verifique que esté presente o ahada todo lo resaltado en negrita, anada o modifique lo que esté resaltado en 
rojo y reemplace las incidencias de dominio.com por las de su propio dominio: 
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options { 

directory "/var/named"; 

dump-file "/var/named/data/cache_dump.db"; 
statistics-file "/var/named/data/named_stats.txt"; 
memstatistics-file "/var/named/data/named_mem_stats.txt"; 

managed-keys-directory "/var/named/dynamic"; 

forwarders { 

8 . 8 . 8 . 8 ; 

8.8.4.4; 

}; 

forward first; 
version "BIND"; 

dnssec-enable yes; 
dnssec-validation yes; 
dnssec-lookaside auto; 
bindkeys-file "/etc/named.iscdlv.key"; 

}; 

include "/etc/rndc.key"; 

include "/etc/named.root.key"; 

logging { 

channel default„debug { 

file "data/named.run"; 
severity dynamic; 

}; 

category lame-servers { null; }; 

}; 

controls { 

inet 127.0.0.1 allow { 127.0.0.1; } keys { "rndc-key"; }; 

}; 

view "local" { 

match-clients { 

127.0.0.0/8; 

10.0.0.0/8 

172.16.0.0/12; 

192.168.0.0/16; 

}; 

recursion yes; 

include "/etc/named.rfcl912.zones"; 
zone IN { 

type hint; 
file "named.ca"; 

}; 

zone "dominio.com" { 
type master; 

file "dominio.com .zone.signed"; 
allow-update { none; }; 
key-directory "/var/named/keys"; 
auto-dnssec maintain; 

}; 

}; 

view "public" { 

match-clients { any; }; 
recursion no; 
zone IN { 

type hint; 
file "named.ca"; 

}; 

zone "dominio.com" { 
type master; 

file "dominio.com .zone.signed"; 
allow-update { none; }; 
key-directory "/var/named/keys"; 
auto-dnssec maintain; 

}; 

}; 


Reinicie el servicio named para aplicar los cambios. 
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Ejecute lo siguiente si utiliza ALDOS, CentOS 6 o Red Hat™ Enterprise Linux 6: 


service named restart 


Ejecute lo siguiente si utiliza CentOS 7 o Red Hat™ Enterprise Linux 7: 


service named restart 


59.2.3.1. Renovación de cadena aleatoria hexadecimal para NSEC3. 

La enumeración de zona —que también se conoce como zone walking — es una técnica utilizada para 
encontrar todos registros RR —registros de Recurso— de una zona al realizar una consulta el registro NSEC de 
la zona. NSEC3 oculta esta información con código utilizando una cadena de texto aleatorio en hexadecimal, lo 
cual dificulta la enumeración de la zona, pero sin imposibilitar ésta. Un atacante con determinación puede 
recurrir a tablas arcoíris para romper esta codificación, sin embargo ésto puede demorar considerablemente 
aún con equipo de cómputo de gran poder. Para impedir que ésto ocurra es que se recomienda volver a 
computar la cadena de texto aleatorio en hexadecimal en intervalos regulares. 

Ejecute lo siguiente para consultar el valor actual del registro NSEC3PARAM: 


dig @127.0.0.1 NSEC3PARAM dominio.com +short 


La salida debe ser similar a la siguiente: 


1 0 10 EC59FF1470068907 


Ejecute lo siguiente para generar un nuevo archivo denominado /usr/sbin/dynzonesigner.sh: 


vi /usr/sbin/zonesigner.sh 


Anada el siguiente contenido: 


#!/bin/sh 

Z0NE=$1 

Z0NEFILE=$2 

SERIAL='/usr/sbin/named-checkzone $ZONE /var/named/$ZONEFILE | egrep -ho '[0-9]{10}'' 
sed -i 1 s/ 1 $SERIAL 1 / 1 $(($SERIAL+1)) 1 / 1 /var/named/$ZONEFILE 

/usr/sbin/dnssec-signzone -A \ 

-3 'head -c 1000 /dev/urandom | shalsum | cut -b 1-16' \ 

-d /var/named/keys \ 

-K /var/named/keys \ 

-N INCREMENT \ 

-O $1 -t \ 

/var/named/$2 && \ 
if [ -x /usr/bin/systemctl ]; then 
/usr/bin/systemctl reload named 
else 

/sbin/service named reload 
f i 


Ejecute lo siguiente para hacer ejecutable el programa: 


chmod +x /usr/sbin/zonesigner.sh 
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Pruebe que funciona ejecutando lo siguiente: 

zonesigner.sh dominio.com dominio.com. zone 

Espere unos segundos y ejecute lo siguiente para consultar nuevamente el valor del registro NSEC3PARAM: 

dig @127.0.0.1 NSEC3PARAM dominio.com +short 

La salida debe ser similar a la siguiente, dónde el valor del registro NSEC3PARAM es diferente al de hace unos 
instantes: 

1 0 10 89473870BEECC103 

Ejecute lo siguiente para afiadir una tarea programada: 
crontab -e 

Afiada el siguiente contenido: 

0 0 */3 * * /usr/sbin/zonesigner.sh dominio.com dominio.com. zone 

Lo anterior hará que se cambie el valor del registro NSEC3PARAM y renovará las firmas cada 3 días, haciendo 
fútil cualquier intento de enumerar la zona —que también se conoce como zone walking — y romper el cifrado 
utilizando tablas arcoíris pues se carecerá del tiempo suficiente para lograrlo. 

59.2.4. Comprobaciones. 

Ejecute lo siguiente para verificar el registro DNSKEY: 

dig @127.0.0.1 DNSKEY dominio.com. +multiline 

La salida debe ser similar a la siguiente: 
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; «» DiG 9.9.4-AlcanceLibre-9.9.4-18. f cl4. al. 6 «» @127.0.0.1 DNSKEY doininio.com 
; (1 server found) 

;; global options: +cmd 
;; Got answer: 

;; -»HEADER«- opcode: QUERY, status: NOERROR, id: 10563 

;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1 

;; OPT PSEUDOSECTION: 

; EDNS: version: 0, flags:; udp: 4096 
;; QUESTION SECTION: 

;dominio.com. IN DNSKEY 

;; ANSWER SECTION: 

dominio.com. 86400 IN DNSKEY 257 3 7 AwEAAcO20KOMYCJiWsr4M 
ppeUqy+fUTqgDMkcuDvj kJlfSLigEvAKfj L B3BlZ0tZ61SodksWyB5nGEgyNuUnii//aAJzRq/ 
QubzL6m+x2UNHlh6m OXMddci7DGdiJzHU+weldroX0DlJJ8LZ3yTi0cMXlbJlPwsGXpqq64V6 
5Df+/Lc8RvmWKHqA64sbGb9yzoKbZyyHbFyFfqBBLEVHPR7tms7BJdmq D9sdbi2I5EMsvENSm7 
WezOAimwGiRb2jvnn9oKIKHmrTVJUnbz7w8Qy+ FxjHr3cdWvNTkK8UfjWQL0E0bBXYocwCX7Uz 
SoJ+oJcTnlkyHkASGKBl 05u0qphHOyflOiVrvnQn/oHYUZN9CnQcVnq4TSbiCJ2lriXpLAOKf/ 
VXm6Nkts6owveTxXjiHhWiMoLGC5VTlL9HX540FYu5iNNgL2XHjmchZePQ axwASnqrinRYswyH 
CINVvLSZ8ZUGLQ9KGAclUqbIUhZUPacECBQ/ii6q Z8tujiSRE5TNVXL3um8twQBZAlxUR68DIM 
VSTNXzBNa+Yfg9B56+5dp0 +DzLi4BBa6+cv0IWSfuHyDlUIPqaup80XkRYqGvNWLEYCg4K0pnT 
GFak IO2VGbNjx4euO3FI0X6EbGgyDXz9pSQafs5o9PLysRBt62SqNfCTRU/B 6bYr+/cH 
ITbZcYJV 

dominio.com. 86400 IN DNSKEY 256 3 7 AwEAAexxltSbhQV10ZmMz 
NE3k641+/GdhPcIyLyiQzrSwEJTzjYVnpov FMGxRTVKmMGV3h+FpbkavjHaNqTgkA4Me/goywi 
KPfaenW31M0lFR6Ql rEFzldh7ittGNItkqfW+QFYKdipNgz3QXIYmlYJDFX8tRWa/CZUgm2eO 
VEHDkigJKxvft+X9G9jWHaYXmlKFZI+o9rSMv4gH5yScSK4kA4dWb4b5 MJrJyhpKwYtIErqtAL 
SRkYnZpMuihy858xSPiUFsvlpj7kBq7kxAS4Zt fBnw/VlnFa6LW9RCgKRYMXysuq5qxzgQzfLq 
d28wrtu3bn5cRjEdRShf FpMAF2HNZHc= 

;; Query time: 1 msec 

;; SERVER: 127.0.0.1#53(127.0.0.1) 

;; WHEN: jue sep 10 12:05:42 CDT 2015 
;; MSG SIZE rcvd: 856 


Ejecute lo siguiente para verificar los registros RRSIG: 


dig @127.0.0.1 A dominio.com. +noadditional +dnssec +multiline 


La salida debe ser similar a la siguiente: 
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; «» DiG 9.9.4-AlcanceLibre-9.9.4-18.fcl4.al.5 «» @127.0.0.1 A dominio.com. +noaddi 
tional +dnssec +multiline 
; (1 server found) 

;; global options: +cmd 
;; Got answer: 

;; -»HEADER«- opcode: QUERY, status: NOERROR, id: 3822 

;; flags: qr aa rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 4, ADDITIONAL: 1 

;; OPT PSEUDOSECTION: 

; EDNS: version: 0, flags: do; udp: 4096 
;; QUESTION SECTION: 

;dominio.com. IN A 


AUTHORITY SECTION: 


dominio.com. 


dominio.com. 


86400 IN SOA joel-laptop.dominio.com. root.localhost. ( 


serial 
refresh (4 hours) 
retry (1 hour) 
expire (1 week 1 hour) 
minimum (1 day) 


2015090716 
14400 
3600 
608400 
86400 
) 

86400 IN RRSIG SOA 7 3 86400 ( 

20151008054158 20150908044158 34337 dominio.com. 


5om71j ZTSNh7q/fwh/RLhYXLQhcjecJtddu+MU/5hSnw 
gJcWjvCbSPEH9InsuqB+FxD/5oxTyAYIyzwSBc770sCH 
Jb0UDZulgYksbvK/aud6iNzZNhtdazJF78HyJDvWOr9D 
LogY5i+N+W9DjVVyKkZ6++4293Ww/qwLQ+mDPChhl7gS 
Mzp+IJX/9soM36wuCmlQ0FQj1j 2zutvK50flORW/CkEM 
PH+RNHVDWxFE6HIYGLi2UdNLaXznTLMszaLE3tatdYVn 
ylgSqXYStPcoSgy0/I+CA309Rg67DnLfBPR2D0RAx7cn 
S50IbVsJRxf+raNZ/4wyTQbOgeym+I2QlQ== ) 

BPTTHPDNQOJ9FLT4VNPUF0MIP53262MH.dominio.com. 86400 IN NSEC3 1 1 10 CBACBF9FD57480BF ( 
BQUETAVA861ULUFSARKVQFE5IHSHV2BD 
NS SOA MX TXT RRSIG DNSKEY NSEC3PARAM SPF ) 

BPTTHPDNQOJ9FLT4VNPUF0MIP53262MH.dominio.com. 86400 IN RRSIG NSEC3 7 4 86400 ( 
20151008040542 20150908040542 34337 dominio.com. 


4Gs33QtvBF3melTLlk+jlb30Jld2LFGl+4vnTliP/gxN 
7EJNmYsYPTmZeNdyC3fSJiyj8GVd63Jow+Vc3YxZ5Pu4 
dKNYDZ84IqHvYDNJ90oIfDouJ7DqUYvFrDouplbzIyxl 
TY6HaVKzS9LtE0jDKN76AjoZFReZ/igC8j s0Q426MzXi 
WHZ7fEPX9SXIBrMqadm28fzCuoY+nyj RlAvTnQ0qvd+O 
XFxL/e4JtaLnUD8XiIgGK24JvqHGiyCRZy+kyc3/nlAc 
xp5UihlZXtEkKUpAfNARwtWBncRcX/Rykt31ogDf0Br5 
/Ee9ufpK8V48HLiO/IdT0alOkZzNTq4LKg== ) 


Query time: 7 msec 
SERVER: 127.0.0.1#53(127.0.0.1) 
WHEN: mar sep 08 17:35:08 CDT 2015 
MSG SIZE rcvd: 818 


59.3. Bibliografia: 

• https://access.redhat.com/documentation/en- 
US/Red_Hat_Enterprise_Linux/6/html/Deployment_Guide/s2-bind-rndc.html 

• https://deepthought.isc.Org/article/AA-00711/0/ln-line-Signing-With-NSEC3-in-BIND-9.9-A-Walk- 
through.html 

• https://www.digitalocean.com/community/tutorials/how-to-setup-dnssec-on-an-authoritative-bind-dns- 
server-2 

• http://users.isc.org/~jreed/dnssec-guide/dnssec-guide.html 

• http://www.average.org/dnssec/dnssec-configuring-auto-signed-dynamic-zones.txt 
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60. Instalación y configuración de PowerDNS. 

Autor: Joel Barrios Duehas 

Correo electrónico: darkshram en gmail punto com 

Sitio de Red: http://www.alcancelibre.org/ 


Creative Commons Reconocimiento-NoComercial-Compartirlgual 2.1 


© 1999-2016 Joel Barrios Duenas. Usted es libre de copiar, distribuir y comunicar públicamente la obra y hacer obras derivadas bajo las condiciones siguientes: a) 
Debe reconocer y citar al autor original. b) No puede utilizar esta obra para fines comerciales. c) Si altera o transforma esta obra o genera una obra derivada, sólo 
puede distribuir la obra generada bajo una licencia idéntica a ésta. Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. 
Alguna de estas condiciones puede no aplicarse si se obtiene el permiso del titular de los derechos de autor. Los derechos derivados de usos legítimos u otras 
limitaciones no se ven afectados por lo anterior. La información contenida en este documento y los derivados de éste se proporcionan tal cual son y los autores no 
asumirán responsabilidad alguna si el usuario o lector hace mal uso de éstos. 


60.1. Introducción. 

60.1.1. Acerca de PovverDNS. 

Es un servidor DNS autoritativo escrito en C++ y distribuido bajo los términos de la licencia GNU/GPLv2 creado 
pro la companía danesa PowerDNS.com BV, con colaboración de la comunidad del softvvare libre. Funciona en 
todos los sistemas operativos tipo POSIX como Linux™ y los derivados de Unix™. Incluye soporte para utilizar 
diversos motores de bases de datos, desde los simples archivos tipo BIND hasta bases de datos relacionales. 
Hay soporte para consultas recursivas a través de un programa separado conocido como pdns-recursor. 

Es una muy robusta y versátil alternativa hacia BIND9. 

URL: http://www.powerdns.com/. 

60.1.2. Acerca de PovverAdmin. 

Es una interfaz HTTP amistosa e intuitiva que sirve como herramienta de administración para PowerDNS. La 
interfaz incluye soporte para todas la funciones de PowerDNS, así como también todos los tipos de zonas y 
registros DNS, soporte para aprovisionamiento de servidores supermasters para los servidores esclavos, 
soporte completo para IPv6 y soporte para algunos idiomas —lamentablemente carece de soporte para 
espanol. 

URL: http://www.poweradmin.org/. 

60.2. Equipamiento lógico necesario. 

60.2.1. Instalación a través de yum. 

ALDOS y Fedora™ ya incluyen lo necesario para realizar la instalación del paquete necesario. Si utiliza 
CentOS o Red Hat™ Enterprise Linux, utilice el almacén YUM de Alcance Libre para servidores en 
producción, descargando el archivo http://www.alcancelibre.org/al/server/AL-Server.repo dentro del 
directorio /etc/yum.repos.d/: 


wget -N http://www.alcancelibre.org/al/server/AL-Server.repo \ 
-P /etc/yum.repos.d/ 


Examine el contenido del archivo /etc/yum.repos.d/AL-Server.repo: 


vi /etc/yum.repos.d/AL-Server.repo 
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El contenido debe ser el siguiente: 


[AL-Server] 

name=AL Server para Enterprise Linux Sreleasever 

mirrorlist=http://www.alcancelibre.org/al/el$releasever/al-server 

gpgcheck=l 

gpgkey=http://www.alcancelibre.org/al/AL-RPM-KEY 


Salga del editor de texto. 

Ejecute lo siguiente para instalar lo necesario: 


yum -y install pdns pdns-backend-mysql poweradmin mod_ssl 


60.3. Modificaciones necesarias en el muro cortafuegos. 

Se requiere haber abierto previamente el puerto 53 (dns) por TCP y UDP. 

60.3.1. Servicio iptables. 

Ejecute lo siguiente: 


iptables -A INPUT 

-m state 

--state NEW -m tcp 

-P 

tcp 

- -dport 

53 

-j ACCEPT 

iptables -A INPUT 

-m state 

--state NEW -m udp 

-P 

udp 

- -dport 

53 

-j ACCEPT 


Ejecute lo siguiente para guardar los cambios: 

service iptables save 

O bien anada lo siguiente al archivo /etc/sysconfig/iptables: 


-A 

INPUT 

-m state 

--state 

NEW 

-m tcp 

-P 

tcp 

- -dport 

53 

-j ACCEPT 

-A 

INPUT 

-m state 

--state 

NEW 

-m udp 

-P 

udp 

- -dport 

53 

-j ACCEPT 


Reinicie el servicio para aplicar los cambios: 

service iptables restart 

60.3.2. Shorewall. 

Edite el archivo /etc/shorewall/rules: 


vi /etc/shorewall/rules 


Las reglas corresponderían a algo similar a lo siguiente: 


#ACTI0N 

SOURCE 

DEST 

PR0T0 

DEST 

SOURCE 





PORT 

PORT(S) 

ACCEPT 

all 

fw 

tcp 

53 


ACCEPT 

all 

fw 

udp 

53 
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Ejecute lo siguiente para aplicar los cambios: 
service shorewall restart 

60.3.3. Firewalld. 

Ejecute lo siguiente para afiadir de manera permanente la reglas necesarias: 

firewall-cmd --permanent --zone=home --add-port=53/tcp 
firewall-cmd --permanent --zone=home --add-port=53/udp 

Reinicie el servicio para aplicar los cambios: 
systemctl restart firewalld 

60.4. Procedimientos. 

60.4.1. Desactivar BIND. 

60.4.1.1. En ALDOS, CentOS 5 y 6 y Red Hat™ Enterprise Linux 5 y 6. 

Detenga el servicio named y elimine este del arranque del sistema en caso de que esté instalado BIND. 
service named status && service named stop && chkconfig named off 

60.4.1.2. En CentOS 7 y Red Hat™ Enterprise Linux 7. 

Detenga el servicio named y elimine este del arranque del sistema en caso de que esté instalado BIND. 
systemctl status named && systemctl stop named && systemctl disable named 

60.4.2. Crear la base de datos. 

Acceda hacia el intérprete de MySQL/MariaDB: 
mysql -uroot -p 

Cree una nueva base de datos con el nombre que mejor prefiera. En el ejemplo se utilizará powerdns. 
create database powerdns; 

Otorgue todos los permisos al usuario que prefiera con la contrasena que prefiera. En el ejemplo se utilizará al 
usuario powerdns y utilizará como contraseha la palabra contrasena. 

grant all on powerdns.* to powerdns@localhost 
identified by 'contrasena' ; 

Salgadel intérprete de MySQL/MariaDB: 
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exit; 

Ejecute lo siguiente para crear los esquemas requeridos para PowerDNS en la nueva base de datos: 

mysql -upowerdns -pcontrasena powerdns \ 

< /usr/share/poweradmin/sql/poweradmin-mysql-db-structure.sql 

Ejecute lo siguiente para crear los esquemas requeridos para PowerAdmin en la nueva base de datos: 

mysql -upowerdns -pcontrasena powerdns \ 

< /usr/share/poweradmin/sql/powerdns-mysql-db-structure .sql 


60.4.3. Configuración de PowerDNS. 

Edite el archivo /etc/pdns/pdns.conf: 

vi /etc/pdns/pdns.conf 

Afiada lo siguiente al final del archivo donde deberá definir que se utilizará como motor MySQL/MariaDB, el 
nombre de la base de datos y las credenciales de ésta: 


launch=gmysql 

gmysql-host=localhost 

gmysql-user=powerdns 

gmysql-password=contrasena 

gmysql-dbname=powerdns 


Anada debajo de lo anterior las siguientes opciones para definir que se funcionará como servidor maestro con 
master=yes, que se permiten las transferencias de zonas con disable-axfr=no y la dirección IP de un 
hipotético servidor esclavo donde se replicarán las zonas con allow-axfr-ips=192. 168.70.25. En el siguiente 
ejemplo 192.168.70.25 corresponde a la dirección IP del servidor esclavo: 


master=yes 

disable-axfr=no 

allow-axf r-ips=192.168.70.25 


Si requiere especificar dos o más servidores esclavos, puede hacerlo definiendo como valor de allow-axfr-ips 
una lista separada por comas. Ejemplo: 

allow-axf r-ips=192 .168.70.25,192.168.70.26,192.168.70.27 


Ahada debajo de lo anterior la opción recursor usando como valor al dirección IP del servidor DNS que se 
utilizará para hacer consultas recursivas. Regularmente se utiliza otro servidor con pdns-recursor instalado y 
ejecutándose o bien cualquier otro servidor o dispositivo que se pueda utilizar como servidor DNS para 
consultas recursivas. En el siguiente ejemplO se define 192.168.1.254 como dirección IP del servidor DNS para 
consultas recursivas. 

recursor=192.168.1.254 


Anada debajo de lo anterior la opción allow-recursion usando como valor una dirección IP o segmento de red 
o una lista separada por comas de todos los segmentos de red que tendrán permitido de hacer consultas 
recursivas a través de PowerDNS. Las conusltas serán redirigidas hacia el servidor que se haya definido en la 
opción recursor. En el siguiente ejemplo se define al anfitrión local y a la red 192.168.70.0/24: 
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allow- recursion=127 .0.0.1/32,::1,192.168.70.0/25 

Como medida de seguridad conviene ocultar la versión de PovverDNS. Anada debajo de lo anterior la siguiente 
línea: 

version-string=powerdns 

Lo anterior hará que se devuelva simplemente «Served by PovverDNS - http://www.powerdns.com» como 
respuesta al solicitar información al servidor. 

Guarde los cambios y cierre el editor de texto. 

Ahada el servicio pdns al arranque del sistema. 

Ejecute lo siguiente si utiliza ALDOS, CentOS 6 o Red Hat™ Enterprise Linux 6: 
chkconfig pdns on 

Ejecute lo siguiente si utiliza CentOS 7 o Red Hat™ Enterprise Linux 7: 

systemctl enable pdns 
Inicie el servicio pdns. 

Ejecute lo siguiente si utiliza ALDOS, CentOS 6 o Red Hat™ Enterprise Linux 6: 
service pdns start 

Ejecute lo siguiente si utiliza CentOS 7 o Red Hat™ Enterprise Linux 7: 
systemctl start pdns 

Verifique que el servicio está funcionando y que se ha ocultado al versión de PovverDNS del servidor ejecutando 
lo siguiente: 

dig chaos txt version.bind §127.0.0.1 
La respuesta debe ser similar a la siguiente: 
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; «» DiG 9.9.4-RedHat-9.9.4-18.el7.al.l.2 «» chaos txt version.bind @127.0.0.1 
;; global options: +cmd 
;; Got answer: 

;; -»HEADER«- opcode: QUERY, status: NOERROR, id: 18273 

;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1 

;; OPT PSEUDOSECTION: 

; EDNS: version: 0, flags:; udp: 2800 
;; QUESTION SECTION: 

;version.bind. CH TXT 

;; ANSWER SECTION: 

version.bind. 5 CH TXT "Served by PowerDNS - http://www.powerdns.com" 

;; Query time: 4 msec 

;; SERVER: 127.0.0.1#53(127.0.0.1) 

;; WHEN: mar may 05 01:02:43 CDT 2015 
;; MSG SIZE rcvd: 98 


60.4.4. Configuración de PovverAdmin. 

Edite el archivo /etc/poweradmin/config.inc.php: 


vi /etc/poweradmin/config.inc.php 


Encontrará el siguiente contenido: 


<?php 

$db_host 

$db„user 

$db_pass 

$db_name 

$db_type 

$iface_lang 

$dns_hostmaster 

$dns_nsl 

$dns_ns2 


= "localhost"; 

= "powerdns"; 

_ II II , 

— r 

= "powerdns"; 

= "mysql"; 

= "en_EN"; 

"hostmaster.example.com"; 
= "nsl.example.com"; 
= "ns2.example.com"; 


// Security settings 

// This should be changed upon install 
$session_key = 'p0w3r4dmln'; 

$password_encryption = 'md5'; // or md5salt 


?> 


Personalice el contenido para que ajuste el nombre y las credenciales de la base de datos; defina el 
administrador del servidor en la opción $dns_hostmaster; defina el nombre de anfitrión del servidor en la 
opción $dns_nsl; opcionalmente puede definir un servidor secundario en la opción $dns_ns2; configure una 
firma de sesión tan compleja como sea posible en la opción $session_key. Ejemplo: 
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<?php 


$db_host 

= "localhost"; 

$db_user 

= "powerdns"; 

$db_pass 

= "contrasena"; 

$db_name 

= "powerdns"; 

$db_type 

= "mysql"; 

$iface_lang 

= "en_EN"; 

$dns„hostmaster = " 

root.dominio.com" ; 

$dns_nsl 

= "nsl.dominio.com"; 

$dns_ns2 

= "ns2.dominio.com"; 

// Security settings 


// This should be changed upon install 

$session„key 

= ' LbR98Urril+3HPJUqwsX '; 

$password_encryption 

= 'md5'; // or md5salt 

?> 



Edite el archivo /etc/httpd/conf.d/poweradmin.conf: 


vi /etc/httpd/conf.d/poweradmin.conf 


Encontrará el siguiente contenido. La configuración predeterminada permite el acceso a PowerAdmin sólo 
desde el anfitrión local como https://localhost/poweradmin/. 


Alias /poweradmin /usr/share/poweradmin 
<Directory /usr/share/poweradmin/> 

<IfModule mod_authz_core.c> 

# Apache 2.4 
Require local 

# Uncomment to allow only 192.168.0.0/16. 

# Require ip 192.168.0.0/16 

# Uncomment to allow everyone. 

# Require all granted 
</IfModule> 

<IfModule !mod_authz_core.c> 

# Apache 2.2 
Order Deny,Allow 
Deny from all 
Allow from 127.0.0.1 
Allow from : : 1 

# Uncomment to allow only 192.168.0.0/16. 

# Allow from 192.168.0.0/16 

# Uncomment to allow everyone. 

# Allow from all 
</IfModule> 

# http://www.php.net/manual/en/datetime.configuration.php#ini.date.timezone 
php_value date.timezone America/Mexico_City 

# Force use of HTTPS. 

RewriteEngine on 
RewriteCond %{HTTPS} !=on 

RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} 

</Directory> 


Personalice la configuración. Por motivos de de seguridad defina un alias de directorio distinto al 
predeterminado; defina desde dónde se permitirá acceder a PowerAdmin; personalice la zona horaria para 
PHP. 
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Alias /adminpdns /usr/share/poweradmin 
<Directory /usr/share/poweradmin/> 

<IfModule mod_authz_core.c> 

# Apache 2.4 
Require local 

# Uncomment to allow only 192.168.0.0/16. 

# Require ip 192.168.0.0/16 

# Uncomment to allow everyone. 

Require all granted 

</IfModule> 

<IfModule !mod_authz_core.c> 

# Apache 2.2 
Order Deny,Allow 
Deny from all 
Allow from 127.0.0.1 
Allow from : : 1 

# Uncomment to allow only 192.168.0.0/16. 

# Allow from 192.168.0.0/16 

# Uncomment to allow everyone. 

Allow from all 

</IfModule> 

# http://www.php.net/manual/en/datetime.configuration.php#ini.date.timezone 

php value date.timezone America/Mexico_City 

# Force use of HTTPS. 

RewriteEngine on 
RewriteCond %{HTTPS} !=on 

RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} 

</Directory> 


Reinicie el servicio httpd para que surtan efecto los cambios: 

service httpd restart 


Acceda con cualquier navegador hacia https://dominio.com/adminpdns/. El usuario predeterminado de 
PovverAdmin es admin y la contrasena es admin. 


Poweradmin 

U>g kì 


Pantalla de ingreso de PovverAdmin. 


Por favor cambié la contrasena inmediatamente y defina una lo más compleja posible. 
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Cambio de contrasena en PowerAdmin. 

La interfaz de PovverAdmin es muy intuitiva y permite anadir fácilmente zonas y todos los tipos de registros 
para DNS. 

60.4.5. Configuración de servidores esclavos. 

Si va a configurar también un servidor esclavo, repita en éste todos los procedimientos anteriores, omitiendo 
las opciones master, disable-axfr y allow-axfr-ips. 

Edite nuevamente el archivo /etc/pdns/pdns.conf: 

vi /etc/pdns/pdns.conf 

Localice la opción slave alrededor de la línea 343. 

################################# 

# slave Act as a slave 

# 

# slave=no 


Descomente y cambie el valor no por yes: 

################################# 

# slave Act as a slave 

# 

slave=yes 

Reinicie el servicio pdns en el servidor esclavo para aplicar los cambios: 
service pdns restart 

Puede crear zonas esclavas desde PowerAdmin y dejar que éstas sincronicen solas con el servidor maestro. 
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Se requiere que el nombre de anfitrión del servidor esclavo se defina con registro NS en cada zona en el 

servidor maestro. 



También puede definir desde PowerAdmin un servidor como supermaster. Todas la zonas del servidor 
supermaster se copian y sincronizan automáticamente en el servidor secundario. 



60.4.6. Migración de zonas de BIND hacia PovverDNS. 
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Puede migrar fácilmente las zonas existentes en BIND utilizando las herramienta zone2sql. 
Copie el archivo /etc/named.conf al directorio de trabajo actual. 


cp /etc/named.conf ./ 


Edite el archivo named.conf que acaba de crear: 


vi ,/named.conf 


Elimine las vistas, la zona hint, las zonas del RFC 1912 —regularmente una inclusión del archivo 
/etc/named.rfcl912.zones— y la sección logging — si acaso ésta existiese. El archivo sólo debe contener la 
configuración básica y las configuración de las zonas a migrar. Ejemplo: 


options { 

directory "/var/named"; 

dump-file "/var/named/data/cache_dump.db"; 

statistics-file "/var/named/data/named_stats.txt"; 

memstatistics-file "/var/named/data/named_mem_stats.txt"; 

managed-keys-directory "/var/named/dynamic"; 

forwarders { 8.8.8.8; 8.8.4.4; }; 

forward first; 

version "BIND"; 

dnssec-enable yes; 

dnssec-validation yes; 

dnssec-lookaside auto; 

bindkeys-file "/etc/named.iscdlv.key"; 

}; 

include "/etc/rndc.key"; 
include "/etc/named.root.key"; 
include "/etc/named.rfcl912.zones"; 

logging { 

channel default_debug { 

file "data/named.run"; 
severity dynamic; 

}; 

category lame-servers { null; }; 

}; 

controls { 

inet 127.0.0.1 allow { 127.0.0.1; } keys { "rndc-key"; }; 

}; 

zone "dominio.com" { 
type master; 

file "dominio.com.zone"; 
allow-update { key "rndc-key"; }; 
allow-transfer { 192.168.1.25; }; 

}; 

zone "168.192.in-addr.arpa" { 
type master; 

file "168.192.in-addr.arpa.zone"; 
allow-update { key "rndc-key"; }; 
allow-transfer { 192.168.1.25; }; 

}; 


Terminado lo anterior, ejecute lo siguiente: 


zone2sql --gmysql --named-conf=./named.conf --verbose > mis-zonas.sql 


Lo anterior debe devolver una salida similar a la siguiente: 
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Domain dominio.com lives in file ’/var/named/dominio.com.zone' 

Domain 168.192.in-addr.arpa lives in file '/var/named/168.192.in-addr.arpa.zone 1 
100% done 

2 domains were fully parsed, containing 53 records 


Ejecute lo siguiente para importarlas en PovverDNS, asumiendo que la base de datos y el nombre del usuario 
de la misma se denominan povverdns: 

mysql -upowerdns -pcontrasena powerdns < mis-zonas.sql 


Es innecesario reiniciar el servicio pdns para que surtan efecto los cambios. 

Haga consultas con host y dig hacia el anfitrión local para hacer las comprobaciones necesarias. 

60.4.7. Configurar DNSSEC. 

PovverDNS permite configurar fácilmente DNSSEC. Se requiere primero ahadir una opción a la configuración y 
anadir los esquemas correspondientes a la base de datos. 

Cargue primero los esquemas para MySQL™/MariaDB™: 


mysql -upowerdns -pcontrasena powerdns \ 

< /usr/share/doc/pdns-backend-mysql-*/dnssec.schema.mysql.sql 


Edite nuevamente el archivo /etc/pdns/pdns.conf: 

vi /etc/pdns/pdns.conf 


Anada la opción gmysql-dnssec justo debajo de launch=gmysql: 


launch=gmysql 

gmysql-dnssec 

gmysql-host=localhost 

gmysql-user=powerdns 

gmysql-password=contraseha 

gmysql-dbname=powerdns 

master=yes 

disable-axfr=no 

allow-axfr-ips=192.168.70.72 

recursor=192.168.1.254 

allow-recursion=127.0.0.1/32,::1,192.168.70.0/25,192.168.1.0/24 
version-string=powerdns 


Reinicie el servicio pdns para aplicar los cambios. 

Ejecute lo siguiente si utiliza ALDOS, CentOS 6 o Red Hat™ Enterprise Linux 6: 

service pdns restart 

Ejecute lo siguiente si utiliza CentOS 7 o Red Hat™ Enterprise Linux 7: 

systemctl restart pdns 

Ejecute lo siguiente para verificar que la zona a asegurar está libre de errores: 
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pdnssec check-zone dominio.com 

La salida debe ser similar a la siguiente: 

Checked 38 records of 'dominio.com', 0 errors, 0 warnings. 

Ejecute lo siguiente para configurar DNSSEC en una zona existente: 
pdnssec secure-zone dominio.com 

La salida debe ser similar a la siguiente: 

Securing zone with rsasha256 algorithm with default key size 
Zone dominio.com secured 

Re-calcule los campos correspondientes al ordenamiento de nombres y autenticación ejecutando lo siguiente: 

pdnssec rectify-zone dominio.com 
La salida debe ser similar a la siguiente: 

Adding NSEC ordering information 
Hasta aquí es el procedimiento básico utilizando NSEC. 

Para incrementar la seguridad y evitar se exponga información innecesaria que es mostrada con NSEC e 
impedir la enumeración de zona —lo que se conoce como zone walking —, es conveniente convertir la zona de 
NSEC a NSEC3. Para este fin se requiere generar primero una cadena de texto aleatorio en hexadecimal: 

head -c 1000 /dev/urandom | shalsum | cut -b 1-16 
La salida será una cadena de texto en hexadecimal similar al siguiente: 

ffca99871f78fa91 

Ejecute lo siguiente para establecer los parámetros NSEC3 utilizando la cadena de texto aleatorio hexadecimal: 
pdnssec set-nsec3 dominio.com "1 0 1 ffca99871f78fa91" narrow 

La salida debe ser similar a la siguiente: 

NSEC3 set, please rectify-zone if your backend needs it 

Re-calcule nuevamente los campos correspondientes al ordenamiento de nombres y autenticación ejecutando 
lo siguiente: 

pdnssec rectify-zone dominio.com 
La salida debe ser similar a la siguiente: 
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Adding NSEC3 hashed ordering information for 'dominio.com' 

Ejecute lo siguiente para ver el estado de la zona: 

pdnssec show-zone dominio.com 


La salida debe ser similar a la siguiente: 


Zone is not presigned 

Zone has hashed NSEC3 semantics, configuration: 101 ffca99871f78fa91 
keys: 

ID = 1 (KSK), tag = 24962, algo = 8, bits = 2048 Active: 1 ( RSASHA256 ) 

KSK DNSKEY = dominio.com IN DNSKEY 257 3 8 AwEAAZlKJ79F5SSb+FTEAysfw]RbiHL6jbO 
l0s950uxeyu3Fw50KbEoezZdF6RgDbEBoMN+oixCWNA/3dwnrynHx9128gt9xcF4xwqvwL4IEacKYYSS 
6d5JpQCzbLYFmllpYvAWsbQiQ0mjaKlbcl0m+lygINW/++kfcYb3WwxGQ/be3t9ndT6iW6AKkQQ+DGvNX 
FMC6YehIys0Awflyv8EWTFzfES15LG0D5zIRtbIdFnV+RODxageuN2oRPTwIh5DB+84ue2wFKEwzhsfc 
mbrE0p55cYJ8BMohj 0rBCeMMX27 rhvWqHXYlm5rliLH3eAlVZ2uBVmLUNokRB5YRQqXyRbAc= ; 

( RSASHA256 ) 

DS = dominio.com IN DS 24962 8 1 d739bl30e46bd8c6ce7462ef8471e39c96c7a555 ; 

( SHAl digest ) 

DS = dominio.com IN DS 24962 8 2 b8be2443a48812a08dla5d3fbc6933091ea59f59b09e8 
8c74cba338a81613ace ; ( SHA256 digest ) 

DS = dominio.com IN DS 24962 8 4 72db7a2adb9717246ald4ca6640d37ec660fcdl386fab 
6e6c95675d41f016blacbb0ec3edlc3e4a465e55afd63604712 ; ( SHA-384 digest ) 

ID = 2 (ZSK), tag = 33865, algo = 8, bits = 1024 Active: 1 ( RSASHA256 


Observe que la cadena de texto aleatorio en hexadecimal aparece entre los datos mostrados. PowerDNS se 
encargará de firmar automáticamente los nuevos registros que se vayan agregando a la zona, sin embargo 
necesitará ejecutar lo siguiente cada vez que realice cambios a fin realizar las rectificaciones correspondientes. 


pdnssec rectify-zone dominio.com 


Deshabilitar DNSSEC para una zona es tan sencillo como ejecutar algo similar al siguiente ejemplo: 


pdnssec disable-dnssec dominio.com 


60.4.7.1. Renovación de cadena aleatoria hexadecimal para NSEC3. 

La enumeración de zona —que también se conoce como zorte walking — es una técnica utilizada para 
encontrar todos registros RR —registros de Recurso— de una zona al realizar una consulta el registro NSEC de 
la zona. NSEC3 oculta esta información con código utilizando una cadena de texto aleatorio en hexadecimal, lo 
cual dificulta la enumeración de la zona, pero sin imposibilitar ésta. Un atacante con determinación puede 
recurrir a tablas arcoíris para romper esta codificación, sin embargo ésto puede demorar considerablemente 
aún con equipo de cómputo de gran poder. Para impedir que ésto ocurra es que se recomienda volver a 
computar la cadena de texto aleatorio en hexadecimal en intervalos regulares. 

Ejecute lo siguiente para consultar el valor actual del registro NSEC3PARAM: 

pdnssec show-zone dominio.com |grep NSEC3 


La salida debe ser similar a la siguiente: 

Zone has NARROW hashed NSEC3 semantics, configuration: 101 EC59FF1470068907 


Ejecute lo siguiente para generar un nuevo archivo denominado /usr/sbin/pdnszonesigner.sh: 
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vi /usr/sbin/pdnszonesigner.sh 

Afíada el siguiente contenido: 

#!/bin/bash 

SALT='head -c 1000 /dev/urandom | shalsum | cut -b 1-16' 

pdnssec set-nsec3 $1 "1 0 1 $SALT" narrow 
pdnssec rectify-zone $1 

Ejecute lo siguiente para hacer ejecutable el programa: 

chmod +x /usr/sbin/pdnszonesigner.sh 
Pruebe que funciona ejecutando lo siguiente: 
pdnszonesigner.sh dominio.com 


Espere unos segundos y ejecute lo siguiente para consultar nuevamente el valor del registro NSEC3PARAM: 
pdnssec show-zone dominio.com |grep NSEC3 

La salida debe ser similar a la siguiente, dónde el valor del registro NSEC3PARAM es diferente al de hace unos 
instantes: 

Zone has NARROW hashed NSEC3 semantics, configuration: 101 89473870BEECC103 

Ejecute lo siguiente para afiadir una tarea programada: 
crontab -e 

Afiada el siguiente contenido: 

0 0 */3 * * /usr/sbin/pdnszonesigner.sh dominio.com 

Lo anterior hará que se cambie el valor del registro NSEC3PARAM y renovará las firmas cada 3 días, haciendo 
fútil cualquier intento de enumerar la zona —que también se conoce como zone walking — y romper el cifrado 
utilizando tablas arcoíris pues se carecerá del tiempo suficiente para lograrlo. 
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61. Configuración de servidor DHCP. 
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61.1. Introducción. 

61.1.1. Acerca del protocolo DHCP. 

DHCP (acrónimo de Dynamic Host Configuration Protocol, que se traduce Protocolo de configuración dinámica 
de servidores) es un protocolo que permite a dispositivos individuales en una red de direcciones IP obtener su 
propia información de configuración de red (dirección IP; máscara de sub-red, puerta de enlace, etc.) a partir de 
un servidor DHCP. Su propósito principal es hacer más fáciles de administrar las redes grandes. DHCP existe 
desde 1993 como protocolo estándar y se describe a detalle en el RFC 2131. 

Sin la ayuda de un servidor DHCP, tendrían que configurarse de forma manual cada dirección IP de cada 
anfitrión que pertenezca a una Red de Área Local. Si un anfitrión se traslada hacia otra ubicación donde existe 
otra Red de Área Local, se tendrá que configurar otra dirección IP diferente para poder unirse a esta nueva Red 
de Área Local. Un servidor DHCP entonces supervisa y distribuye, las direcciones IP de una Red de Área Local 
asignando una dirección IP a cada anfitrión que se una a la Red de Área Local. Cuando, por mencionar un 
ejemplo, una computadora portátil se configura para utilizar DHCP, a ésta le será asignada una dirección IP y 
las variables de red, necesarios para unirse a cada Red de Área Local donde se localice. 

Existen tres métodos de asignación en el protocolo DHCP: 

• Asignación manual: La asignación utiliza una tabla con direcciones MAC (acrónimo de Media 
Access Control Address, que se traduce como dirección de Control de Acceso al Medio). Sólo los 
anfitriones con una dirección MAC definida en dicha tabla recibirá el IP asignada en la misma 
tabla. Ésto se hace a través de la opción hardware ethernet combinado con deny unknown- 
clients. 

• Asignación automática: Una dirección de IP disponible dentro de un rango determinado se 
asigna permanentemente al anfitrión que la requiera. 

• Asignación dinámica: Se determina arbitrariamente un rango de direcciones IP y cada anfitrión 
conectado a la red está configurada para solicitar su dirección IP al servidor cuando se inicia el 
dispositivo de red, utilizando un intervalo de tiempo controlable (opciones default-lease-time 
y max-lease-time), de modo que la asignación de direcciones IP es de manera temporal y éstas 
se reutilizan de forma dinámica. 

URL: http://www.ietf.org/rfc/rfc2131.txt y http://www.ietf.org/rfc/rfc2132.txt 

61.1.2. Acerca de dhcp por Internet Softvvare Consortium, Inc. 

El programa utilizado para las funciones de DHCP se denomina ISC DHCP. 

Fundado en 1994, Internet Software Consortium, Inc., distribuye un conjunto de herramientas para el protocolo 
DHCP, las cuales consisten en: 
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• Servidor DHCP. 

• Cliente DHCP. 

• Agente de retransmisión. 

Dichas herramientas utilizan un API (Application Programming Interface o Interfaz de Programación de 
Aplicaciones) modular disenado para ser lo suficientemente general para ser utilizado con facilidad en los 
sistemas operativos que cumplen el estándar POSIX ( Portable Operating System Interface for UNIX o interfaz 
portable de sistema operativo para Unix) y no-POSIX, como Windows. 

URL: http://isc.org/products/DHCP/. Es softvvare libre y se distribuye bajo los términos de la licencia ISC. 

61.2. Equipamiento lógico necesario. 

61.2.1. CentOS, Fedora™ y Red Hat™ Enterprise Linux. 

Ejecute lo siguiente para instalar o actualizar todo necesario: 
yum -y install dhcp 

61.3. Modificaciones necesarias en el muro cortafuegos. 

Por lo general, jamás se abren puertos de DHCP a las redes públicas. Es necesario abrir los puerto 67 y 68 
(BOOTPS y BOOTPC) por UDP, tanto para trafico entrante como saliente, para toda la red de área local. 

61.3.1. Firewalld. 

Asumiendo que la red de área local está detrás de la zona home, ejecute lo siguiente para abrir los puertos 
requeridos: 

firewall-cmd --zone=home --add-port=67-68/udp 
Ejecute lo siguiente para anadir de manera permanente la regla correspondiente: 

firewall-cmd --permanent --zone=home --add-port=67-68/udp 
Si utiliza la zona internal, simplemente reemplace home por internal en las reglas descritas arriba. 

61.3.2. Servicio iptables. 

Asumiendo que el servicio funcionará a través de la interfaz ethl, puede ejecutar iptables conlas siguientes 
opciones: 

iptables -A INPUT -i ethl -p udp -m state --state NEW -m udp \ 

--sport 67:68 --dport 67:68 -j ACCEPT 

Ejecute lo siguiente para guardar los cambios: 
service iptables save 

O bien edite el archivo /etc/sysconfig/iptables: 
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vi /etc/sysconfig/iptables 


Y anada el siguiente contenido: 


-A INPUT -i ethl -p udp -m state --state NEW -m udp --sport 67:68 --dport 67:68 -j ACCEPT 


Reinicie el servicio iptables a fin de que surtan efecto los cambios. 


service iptables restart 


61.3.3. Shorewall. 

Edite el archivo /etc/shorewall/interfaces: 

vi /etc/shorewall/interfaces 


Asumiendo que el servicio funcionará a través del segundo dispositivo de red del sistema y que éste se 
encuentra asociado a la zona loc, anada la opción dhcp a las opciones de la interfaz sobre la cual funciona el 
servicio dhcpd. Esta opción, tras reiniciar el servicio shorewall, habilita las comunicaciones de entrada y 
salida, para DHCR 

61.3.3.1. CentOS 7 y Red Hat™ Enterprise Linux 7 y versiones posteriores. 

La siguiente sería la configuración para Shorewall 4.5: 


#Z0NE INTERFACE OPTIONS 
7F0RMAT 2 

net enp0s3 

loc enps08 dhcp 


Reinicie el servicio shorewall a fin de que surtan efecto los cambios. 
systemctl restart shorewall 


61.3.3.2. ALDOS 1.4, CentOS 6 y Red Hat™ Enterprise Linux 6 y versiones anteriores. 

La siguiente sería la configuración para Shorewall 4.4: 

# 

ZONE INTERFACE BROADCAST OPTIONS 

net ethO detect 

loc ethl detect dhcp 

Reinicie el servicio shorewall a fin de que surtan efecto los cambios. 
service shorewall restart 

Ejecute lo siguiente si utiliza ALDOS 1.4, CentOS 6 o Red Hat™ Enterprise Linux 6: 
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service shorewall restart 

61.4. SELinux y el servicio dhcpd. 

Se recomienda encarecidamente dejar activo SELinux y dejar como están las políticas predeterminadas. 

Nota. 

Lo siguiente sólo aplica para CentOS 5 y Red Hat Enterprise Linux 5. 

Ejecute lo siguiente si se desea eliminar la protección que brinda SELinux al servicio dhcpd: 
setsebool -P dhcpd_disable_trans 1 

Ejecute lo siguiente si se desea eliminar la protección que brinda SELinux al sistema para funcionar como cliente 
DHCP: 

setsebool -P dhcpc_disable_trans 1 

Ninguna de estás políticas existe en CentOS 6 y Red Hat Enterprise Linux 6 y versiones posteriores de éstos. 


61.5. Procedimientos. 

61.5.1. Archivo de configuración /etc/sysconfig/dhcpd. 


m 


Nota. 


Este paso es innecesario en CentOS 7 y Red Hat™ Enterprise Linux 7 y versiones posteriores de éstos. 


En el caso de disponer múltiples dispositivos de red en el servidor, se recomienda que el servicio dhcpd 
solamente funcione a través de la interfaz de red utilizada por la LAN. Edite el archivo /etc/sysconfig/dhcpd y 
agregue el valor ethO, ethl, eth2, etc., como argumento(s) de la opción DHCPDARGS o bien lo que 
corresponda a la interfaz desde la cual accede la red local. 

Edite el archivo /etc/sysconfig/dhcpd: 


vi /etc/sysconfig/dhcpd 


El siguiente ejemplo considera que ethl es la interfaz correspondiente a la LAN: 

# Command line options here 
DHCPDARGS=ethl 

61.5.2. Escenario hipotético en los siguientes ejemplos. 

Considerando como ejemplo que se tiene una red local con las siguientes características: 

• Dirección IP del segmento de red: 172.16.1.0 

• Dirección IP de difusión: 172.16.1.15 

• Máscara de sub-red: 255.255.255.240 (28 bit) 
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• Puerta de enlace: 172.16.1.1 

• Servidor de nombres: 172.16.1.1 

• Servidor Wins: 172.16.1.1 

• Servidores de tiempo (NTP): recomendamos utilizar los de NTP.org —es decir 0. pool.ntp.org, 
1. pool.ntp.org, 2. pool.ntp.org y 3. pool.ntp.org — los cuales son confiables y de acceso gratuito. 

• Rango de direcciones IP a asignar de modo dinámico: 172.16.1.2 hasta 172.16.1.14. 


m 


Nota. 


Es indispensable conocer y entender perfectamente, todo lo anterior para poder continuar con este documento. Si se 
tienen dudas, por favor, primero consultar y estudiar, el documento titulado «Introducción a IP versión 4.» 


Puede utilizar el contenido de ejemplo —que se encuentra más adelante— para adaptar o bien crear desde 
cero, un nuevo archivo de configuración para el servicio dhcpd, ajustando los datos a una red para un conjunto 
de sistemas en particular. 

61.5.3. Descargue el archivo plantilla. 

Descargue el archivo plantilla —con una configuración mínima recomendada— desde AlcanceLibre.org 
ejecutando la siguiente línea: 

wget http://www.alcancelibre.org/linux/secrets/dhcpd.conf -0 /etc/dhcp/dhcpd.conf 


Restaure contextos de SELinux. 


restorecon /etc/dhcp/dhcpd.conf 

61.5.4. Configuración básica para el archivo /etc/dhcp/dhcpd.conf. 

Edite el archivo /etc/dhcp/dhcpd.conf. 

vi /etc/dhcp/dhcpd.conf 

Personalice el contenido. Para efectos prácticos, modifique todo lo que esté resaltado y adecue al escenario de 
su red de área local. 


ddns-update-style interim; 

ignore client-updates; 

authoritative; 

default-lease-time 900; 

max-lease-time 7200; 

option ip-forwarding off; 

option domain-name " "; 

option ntp-servers 0.pool.ntp.org, 1.pool.ntp.org, 2.pool.ntp.org, 3.pool.ntp.org; 

shared-network { 

subnet netmask { 

option routers ; 

option subnet-mask ; 

option broadcast-address ; 

option domain-name-servers ; 

option netbios-name-servers ; 

range ; 

} 

} 
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Lo anterior corresponde a la configuración básica recomendada para un servidor DHCP básico. 
Ejecute lo siguiente si utiliza CentOS 7 o Red Hat™ Enterprise Linux 7: 

systemctl start dhcpd 


Ejecute lo siguiente si utiliza ALDOS 1.4, CentOS 6 o Red Hat™ Enterprise Linux 6 o versiones anteriores de 
éstos: 


service dhcpd start 

A partir de este punto podrá comenzar a hacer validaciones. Conecte uno o más anfitriones y observe la salida 
del registro de mensajes del sistema ejecutando lo siguiente. 

tail -f /var/log/messages |grep dhcp 


61.5.5. Asignación de direcciones IP estáticas. 

Para definir equipos con direcciones IP estáticas, pueden aiìadirse también en la configuración de la siguiente 
forma, especificando el nombre de anfitrión, dirección MAC y dirección IP: 


host impresora { 

option host-name "epl5900.red-local.net"; 
hardware ethernet 00:24:2B:65:54:84; 
fixed-address 172.16.1.59; 

} 


Edite el archivo /etc/dhcp/dhcpd.conf o bien /etc/dhcpd.conf, según corresponda: 


vi /etc/dhcp/dhcpd.conf 


Un ejemplo de la configuración quedaría del siguiente modo: 
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ddns-update-style interim; 

ignore client-updates; 

authoritative; 

default-lease-time 900; 

max-lease-time 7200; 

option ip-forwarding off; 

option domain-name " "; 

option ntp-servers 0.pool.ntp.org, 1.pool.ntp.org, 2.pool.ntp.org, 3. pool.ntp.org; 

shared-network { 

subnet netmask 

option routers ; 

option subnet-mask 
option broadcast-address 
option domain-name-servers 
option netbios-name-servers 
range 

} 

# Equipos con IP fija. 

host impresora { 

option host-name " 
hardware ethernet 
fixed-address ; 

} 

host pcl4 { 

option host-name " 
hardware ethernet 
fixed-address ; 

} 

} 



Si realizó cambios en la configuración, reinicie el servicio dhcpd afin de que surtan efecto los cambios. 
Ejecute lo siguiente si utiliza CentOS 7 o Red Hat™ Enterprise Linux 7: 


systemctl restart dhcpd 


Ejecute lo siguiente si utiliza ALDOS 1.4, CentOS 6 o Red Hat™ Enterprise Linux 6 o versiones anteriores de 
éstos: 


service dhcpd restart 


61.5.6. Limitar el acceso por dirección MAC. 

Es posible limitar el acceso al servidor DHCP a través de la opción deny con el valor unknown-clients y 
definiendo una lista de direcciones físicas o MAC. De tal modo, a los anfitriones que estén ausentes en dicha 
lista les será denegado el servicio. Ejemplo: 


deny unknown-clients; 

host impresora { 

hardware ethernet 00:24:2B:65:54:84; 

} 

host pcl { 

hardware ethernet 00:50:BF:27:1C:1C; 


Edite el archivo /etc/dhcp/dhcpd.conf o bien /etc/dhcpd.conf, según corresponda: 


vi /etc/dhcp/dhcpd.conf 
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Un ejemplo de la configuración quedaría del siguiente modo, donde sólo las direcciones MAC en la lista pueden 
conectarse hacia el servidor DHCP y recibir una dirección IP: 


ddns-update-style interim; 

ignore client-updates; 

authoritative; 

default-lease-time 900; 

max-lease-time 7200; 

option ip-forwarding off; 

option domain-name " "; 

option ntp-servers 0. pool.ntp.org, 1.pool. ntp.org, 2.pool.ntp.org, 

3. pool.ntp.org; 

shared-network { 

subnet netmask { 

option routers ; 

option subnet-mask ; 

option broadcast-address ; 

option domain-name-servers ; 

option netbios-name-servers ; 

range ; 

} 

U Lista de direcciones MAC que tendrán permitido utilizar el servidor 
# DHCP. 

U deny unknown-clients impide que equipos fuera de esta lista puedan 
U utilizar el servicio. 

deny unknown-clients; 
host impresora { 

hardware ethernet ; 

} 

host pcl { 

hardware ethernet ; 

} 

host pc2 { 

hardware ethernet ; 

} 

host laptopl { 

hardware ethernet ; 

} 

host laptop2 { 

hardware ethernet ; 

} 

} 


61.6. Activar, iniciar, detener y reiniciar el servicio dhcpd. 

61.6.0.1. CentOS 7 y Red Hat™ Enterprise Linux 7 y versiones posteriores. 

Ejecute lo siguiente para activar el servicio en todos los niveles de ejecución: 

systemctl enable dhcpd 

Ejecute lo siguiente para iniciar por primera vez el servicio: 

systemctl start dhcpd 

Ejecute lo siguiente para hacer que los cambios hechos a la configuración surtan efecto: 

systemctl restart dhcpd 

Ejecute lo siguiente para detener el servicio: 

systemctl stop dhcpd 


61.6.0.2. ALDOS 1.4, CentOS 6 y Red Hat™ Enterprise Linux 6 y versiones anteriores. 
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Ejecute lo siguiente para activar el servicio en todos los niveles de ejecución: 
chkconfig dhcpd on 

Ejecute lo siguiente para iniciar por primera vez el servicio: 
service dhcpd start 

Ejecute lo siguiente para hacer que los cambios hechos a la configuración surtan efecto: 

service dhcpd restart 
Ejecute lo siguiente para detener el servicio: 
service dhcpd stop 


61.7. Comprobaciones desde cliente DHCP. 

Hecho todo lo anterior, sólo se necesitará configurar como los dispositivos de red de los clientes para utilizar 
DHCP, sin importar que sistema operativo utilicen. 

Acontinuación explicamos las comprobaciones que pueden llevarse a cabo desde un cliente GNU/Linux. 

Abra una terminal, cambie a root y —asumiendo que se tiene una interfaz de red denominada enp0s3— 
ejecute lo siguiente para desactivar la interfaz enps0s3 y asignar una nueva dirección IP a través del servidor 

dhcp. 


ifdown enps0s3 

dhclient -d -I micliente enps0s3 


Lo anterior deberá devolver el mensaje «Determinando la información IP para enps0s3...» y el símbolo de 
sistema. Ejecute ip addr list para hacer comprobaciones y visualizar los dispositivos de red activos en el 
sistema. 

Si se dispone de varios servidores DHCP y se desea probar la configuración de alguno en particular, puede 
anadir la opción -V a dhclient, definiendo como valor para esta opción, el mismo valor que fue asignado para la 
opción server-identifier, establecido en el archivo /etc/dhcp/dhcpd.conf del servidor correspondiente. 


ifdown enps0s3 

dhclient -d -I micliente -V 172.16.1.1 enps0s3 


Edite el archivo /etc/sysconfig/network-scripts/ifcfg-enps0s3 o el que corresponda al dispositivo de red 
principal del sistema cliente: 

vi /etc/sysconfig/network-scripts/ifcfg-enps0s3 


La configuración permanente del dispositivo de red, considerando como ejemplo la interfaz enps0s3 con 
dirección MAC 00:01:03:DC:67:23, solicitando los datos para los servidores DNS, puerta de enlace y servidores 
de tiempo, sería la siguiente: 
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DEVICE=enps0s3 

ONBOOT=yes 

USERCTL=yes 

HWADDR=00:01:03:DC:67:23 

TYPE=Ethernet 

NM_CONTROLLED=no 

BOOTPROTO=dhcp 

DEFROUTE=yes 

PEERDNS=yes 

PEERROUTES=yes 

PEERNTP=yes 

DOMAIN=red-local.net 

DHCP_CLIENT_ID=micliente 


Si utiliza NM_CONTROLLED=yes, deje que el servicio NetworkManager se encargue por si solo de aplicar los 
cambios. Si utiliza NM_CONTROLLED=no, reinicie el servicio network a fin de que surtan efecto los cambios. 


service network restart 


61.8. Lecturas posteriores. 

Por favor continúe con el documento titulado «Integración de servidor DHCP con con servidor DNS 
dinámico». 
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62. Integración de servidor DHCP con servidor DNS 
dinámico. 
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62.1. Introducción. 

Los servidores DNS pueden funcionar de modo dinámico permitiendo la actualización en tiempo real de los 
nombres de anfitrión y las direcciones IP asociadas a éstos, a través de la información enviada a través de un 
servidor DHCP. 

Los procedimientos de este documento requieren haber comprendido, estudiado y puesto en práctica los temas 
descritos en el documentos titulados «Administración de zonas de DNS con nsupdate.» «Configuración de 
servidor DHCP». 

62.2. Procedimientos. 

62.2.1. Archivo /etc/dhcp/dhcpd.conf. 

Edite el archivo /etc/dhcp/dhcpd.conf: 

vi /etc/dhcp/dhcpd.conf 


Asumiendo que ya se dispone de un servidor DNS previamente configurado y funcionando, para configurar el 
servidor DHCP a fin de que actualice automáticamente los registros correspondientes en las zonas del servidor 
DNS, sólo basta anadir las siguientes opciones: 

• ddns-updates con valor on, para activar el soporte de DNS dinámico. 

• ddns-domainname utilizando como valor el nombre de dominio de la red de área local. 

• ddns-rev-domainname usando como valor in-addr.arpa —sin importar de qué segmento de red se 
trate. 

• update-static-leases con valor on, para permitir a los anfitriones con IP fija actualizar su nombre si se 
realiza un cambio. 

• La inclusión de la misma firma digital de la configuración del DNS. 

• Definir las zonas de localhost, zona de re-envío y zona de resolución inversa del DNS, con los valores 
ejemplificados a continuación, solamente siendo necesario reemplazar los valores resaltados. 

Ejemplo: 
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ddns-update-style interim; 

ddns-updates on; 
ddns-domainname " 

ddns-rev-domainname "in-addr.arpa."; 
update-static-leases on; 

ignore client-updates; 
authoritative; 
default-lease-time 900; 
max-lease-time 900; 
option ip-forwarding off; 
option domain-name " "; 

option ntp-servers 0.pool.ntp.org, 1.pool.ntp.org, 2.pool.ntp.org, 3. pool.ntp.org; 

# Éste es el mismo archivo de firma digital de BIND. 

include "/etc/rndc.key"; 

zone localdomain. { 
primary 127.0.0.1; 
key rndc-key; 

} 

zone { 

primary 127.0.0.1; 
key rndc-key; 

} 

zone { 

primary 127.0.0.1; 
key rndc-key; 

} 

shared-network { 

subnet netmask 

option routers ; 

option subnet-mask 
option broadcast-address 
option domain-name-servers 
option netbios-name-servers 
range 

} 

} 



62.2.2. Archivos de zona. 

62.2.2.1. Crear los archivos de zona. 

Para que lo anterior trabaje de manera transparente junto con el servidor DNS, se requiere generar los archivos 
de zona — en este caso serán red-local.net.zone y 16.172.in-addr.arpa.zone — estén dentro del directorio 
/var/named/dynamic/. Cambie al directorio /var/named/dynamic/: 

cd /var/named/dynamic/ 


Genere con touch los archivos red-local.net.zone y 16.172.in-addr.arpa.zone: 


touch red-local.net. zone 
touch 16.172.in-addr.arpa.zone 


Ambos archivos deben tener permisos de lectura y escritura para usuario y sólo lectura para grupo: 


chmod 640 red-local.net. zone 
chmod 640 16.172.in-addr.arpa.zone 


Ambos archivos deben pertenecer al usuario named y grupo named. 
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chown named:named red-local.net. zone 
chown namedinamed 16.172.in-addr.arpa.zone 


62.2.2.2. Contenido de los archivos de zona. 


Edite el archivo /var/named/dynamic/red-local.net.zone: 


vi red-local.net. zone 


Deberá anadir el siguiente contenido. Modifique y anada los registros que correspondan a su red de área local. 


$TTL 3600 

@ IN SOA servidor.red-local.net. root.localhost. ( 

2015090801; 

1800; 

900; 

604800; 

3600; 

) 

§ IN NS servidor.red-local.net. 

servidor IN A 172.16.1.1 


Edite el archivo /var/named/dynamic/16.172.in-addr.arpa.zone: 


vi 16.172.in-addr.arpa.zone 


Deberá ahadir el siguiente contenido. Modifique y anada los registros que correspondan a su red de área local. 


$TTL 3600 

i IN SOA servidor.red-local.net. root.localhost. ( 

2015090801; 

1800; 

900; 

604800; 

3600; 

) 

i IN NS servidor.red-local.net. 

$ORIGIN 1.16.172. in-addr.arpa. 

1 IN PTR servidor.red-local.net. 


62.2.3. Modificaciones del archivo /etc/named.conf. 

Edite el archivo /etc/named.conf: 

vi /etc/named.conf 


Éste deberá tener un contenido similar al siguiente después de anadir la configuración de las zonas red- 
local.net y 1.16.172.in-addr.arpa en la vista local, justo debajo de la configuración de la zona del dominio 
anadido durante la práctica del tema «Administración de zonas de DNS con nsupdate »: 
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options { 

directory "/var/naiïied"; 

duiïip-file "/var/nanied/data/cache duiïip.db"; 

statistics-file "/var/named/data/named_stats.txt"; 

memstatistics-file "/var/named/data/named_mem_stats.txt"; 

managed-keys-directory "/var/named/dynamic"; 

version "BIND"; 

forwarders { 

8 . 8 . 8 . 8 ; 

8.8.4.4; 

}; 

forward first; 

// Sólo habilitar lo siguiente si se va a utilizar DNSSEC 

// y si los servidores en forwarders tienen soporte para DNSSEC. 

dnssec-enable yes; 
dnssec-validation yes; 
dnssec-lookaside auto; 
bindkeys-file "/etc/named.iscdlv.key"; 

}; 

include "/etc/rndc.key"; 
include "/etc/named.root.key"; 

logging { 

channel defaultdebug { 
file "data/named.run"; 
severity dynamic; 

}; 

category lame-servers { null; }; 
category dnssec { null; }; 

}; 

controls { 

inet 127.0.0.1 allow { 127.0.0.1; } keys { "rndc-key"; }; 

}; 

view "local" { 

match-clients { 127.0.0.0/8; 172.16. .0/26; }; 
recursion yes; 

include "/etc/named.rfcl912.zones"; 
zone "." IN { 
type hint; 
file "named.ca"; 

}; 

zone "dominio.com" { 
type master; 

file "dynamic/dominio.com.zone"; 
allow-update { key "rndc-key"; }; 
allow-transfer { ; }; 

} 

zone " " { 

type master; 
file "dynamic/ 

allow-update { key "rndc-key"; }; 

}; 

zone " " { 

type master; 

file "dynamic/ "; 

allow-update { key "rndc-key"; }; 

}; 

}; 

view "public" { 

match-clients { any; }; 
recursion no; 
zone "." IN { 
type hint; 
file "named.ca"; 

}; 

zone "dominio.com" { 


585 



Joel Barrios Duenas 


Configuración de Servidores con GNU/Linux 


type master; 

file "dynamic/dominio.com.zone"; 
allow-update { key "rndc-key"; }; 
allow-transfer { ; }; 

} 

}; 


62.2.4. SEIinux. 

Si aún no lo ha hecho, por favor active la política de SELinux, la cual permitirá al servidor DNS poder realizar 
modificaciones a los archivos de zona. 


setsebool -P named„write_master_zones 1 


62.2.5. Reinicie los servicios. 

Reinicie el servicio named a fin de que surtan efecto los cambios. 

Ejecute lo siguiente si utiliza CentOS 7 o Red Hat™ Enterprise Linux 7: 


systemctl restart named 


Ejecute lo siguiente si utiliza ALDOS 1.4, CentOS 6 o Red Hat™ Enterprise Linux 6: 

service named restart 

Reinicie también el servicio dhcpd a fin de que surtan efecto los cambios y para que el servidor DHCP 
comience a interactuar con el servidor DNS. 

Ejecute lo siguiente si utiliza CentOS 7 o Red Hat™ Enterprise Linux 7: 

systemctl restart dhcpd 


Ejecute lo siguiente si utiliza ALDOS 1.4, CentOS 6 o Red Hat™ Enterprise Linux 6: 

service dhcpd restart 


A partir de este momento, todo cliente que tenga definido en su configuración local un nombre de anfitrión y al 
cual le sea asignada una dirección IP a través del servidor DHCP recién configurado, comunicará su nombre de 
anfitrión al servidor DHCP, el cual a su vez comunicará al servidor DNS este mismo nombre asociada a la 
dirección IP asignada al cliente, de modo que el DNS anadirá automáticamente el registro correspondiente a las 
zonas de re-envío y de resolución inversa correspondientes. 

62.3. Comprobaciones. 

Verifique que el servidor DNS dinámico funciona correctamente, simulando lo que en adelante hará 
automáticamente en segundo plano el servidor DHCP, anadiendo un par de registros a través de nsupdate. 
Ejecute lo siguiente para conectarse al servidor DNS utilizando la firma digital que utilizarán tanto el éste como 
el servidor DHCP: 


nsupdate -k /etc/rndc.key 
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Ejecute lo siguiente desde el intérprete de mandatos de nsupdate: 


server 127.0.0.1 

update add prueba.red-local.net. 3600 A 172.16.1.14 

send 

update add 14.1.16.172.in-addr.arpa. 3600 PTR prueba.red-local.net. 

send 

quit 


Si lo anterior devuelve errores como el siguiente: 

update failed: REFUSED 

Significa que hay errores en el procedimiento realizado o la configuración o bien que la firma digital utilizada en 
el archivo /etc/named.conf es distinta a la del archivo /etc/rndc.key. 


Si lo anterior devuelve errores como el siguiente: 


; TSIG error with server: tsig indicates error 
update failed: REFUSED(BADKEY) 


Significa que el nombre de anfitrión pertenece a un dominio distinto al configurado o bien la dirección IP 
pertenece a otro bloque direcciones distinto al configurado. Corrija lo necesario si así es el caso. 

Si el procedimiento concluyó sin errores, haga consultas al servidor DNS para prueba.red-local.net y 
172.16.1.14 para cotejar que el servidor DNS aceptó los dos registros anadidos a través de nsupdate, 
ejecutando lo siguiente: 

host prueba.red-local.net 
host 172.16.1.14 


Lo anterior debe devolver una salida similar a la siguiente: 


[root@servidor -]# host prueba.red-local.net 
prueba.red-local.net has address 172.16.1.14 

[rootiservidor -]# host 172.16.1.14 

14.1.16.172.in-addr.arpa domain name pointer prueba.red-local.net. 


Si la salida devuelve errores, significa que hay errores en el procedimiento realizado o bien el dominio y zona de 
resolución inversa son diferentes a los configurados. Corrija lo necesario si así es el caso. 


Si el procedimiento fue exitoso, ejecute nuevamente nsupdate para conectarse al servidor DNS: 


nsupdate -k /etc/rndc.key 


Ejecute lo siguiente desde el intérprete de mandatos de nsupdate para eliminar los registros: 


server 127.0.0.1 

update delete prueba.red-local.net. A 

send 

update delete 14.1.16.172.in-addr.arpa. 

send 

quit 


PTR 
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Ésta es —por cierto— la metodología recomendada para anadir o eliminar registros de zonas en el servidor 
DNS cuando se utilizan zonas dinámicas. 

Ejecute tail con la opción -f y /var/log/messages como argumento para dejar abierto el archivo de registro del 
sistema en el servidor DHCP: 


tail -f /var/log/messages 


Esté atento y observe la actividad que se generará tras conectar un nuevo sistema cliente a la LAN. Al terminar 
pulse CTRL+C para finalizar el programa. 

Realice lo siguiente en el cliente: 

1. Configure el nombre de anfitrión en una máquina real o máquina virtual. 

2. Configure la interfaz de red principal para que obtenga su dirección IP a través de DHCP. 

3. Conecte a la misma LAN que administre el servidor DHCP. 

4. Observe resultados. 
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63.1. Introducción. 

63.1.1. Acerca del protocolo FTP. 

FTP (F/'/e Transfer Protocol) o Protocolo de Transferencia de Archivos (o archivos informáticos) es uno de los 
protocolos estándar más utilizados en Internet siendo el más idóneo para la transferencia de grandes bloques 
de datos a través de redes que soporten TCP/IP. El servicio utiliza los puertos 20 y 21, exclusivamente sobre 
TCP. El puerto 20 es utilizado para el flujo de datos entre cliente y servidor. El puerto 21 es utilizando para el 
envío de órdenes del cliente hacia el servidor. Prácticamente todos los sistemas operativos y plataformas 
incluyen soporte para FTP, lo que permite que cualquier computadora conectada a una red basada sobre 
TCP/IP pueda hacer uso de este servicio a través de un cliente FTP. 

Existen dos métodos, el modo activo y el modo pasivo. 

URL: http://tools.ietf.org/html/rfc959 

63.1.1.1. Modo activo de FTP. 

En este modo, el cliente crea una conexión de datos a través del puerto 20 del servidor, mientras que en el 
cliente asocia esta conexión desde un puerto aleatorio entre 1024 y 65535, enviando PORT para indicar al 
servidor el puerto a utilizar para la transferencia de datos. Tiene como desventaja que el cliente FTP debe estar 
dispuesto a aceptar cualquier conexión de entrada asociada a puertos entre 1024 y 65535, lo que significa que 
el cliente tendría que estar detrás de un muro cortafuegos que acepte establecer conexiones entrantes en este 
rango de puertos o bien acceder hacia Internet sin un muro cortafuegos de por medio, lo que evidentemente 
implica un enorme riesgo de seguridad. El modo activo sólo es conveniente en la ausencia de un muro 
cortafuegos entre el servidor y el cliente, como ocurre en los escenarios de una red de área local. 

63.1.1.2. Modo pasivo de FTP. 

Fue creado como una alternativa al problema que representa el modo activo. A diferencia de éste último, el 
modo pasivo envía PASV en lugar PORT a través del puerto de control del servidor. Éste devuelve como 
respuesta el número de puerto a través del cual debe conectarse el cliente para hacer la transferencia de datos. 
El servidor puede elegir al azar cualquier puerto entre 1024 y 65535 o bien el rango de puertos determinado por 
el administrador del sistema. En el caso de vsftpd, se puede definir un rango arbitrario de puertos para 
conexiones pasivas utilizando las opciones pasv_min_port y pasv_max_port. Éste es el método 
recomendado para servidores de acceso público. 

63.1.2. tQué es el protocolo FTPS/FTPES? 

FTPS — también referido como FTP/SSL— es la forma de designar diferentes métodos a través de las cuales 
se pueden realizar transferencias de archivos seguras a través del protocolo FTP utilizando SSL o TLS. Son 
métodos muy diferentes a los del protocolo SFTP (SSH File Transfer Protocol). 
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Existen dos diferentes métodos para realizar una conexión SSL/TLS a través de FTP. La primera y más antigua 
es a través de FTPS Implícito (Implicit FTPS), que consiste en cifrar la sesión completa a través de los puertos 
990 (FTPS) y 998 (FTPS Data), sin permitir negociación con el cliente, el cual está obligado a conectarse 
directamente al servidor FTPS con el inicio de sesión SSL/TLS. El segundo método, que es el recomendado 
por el RFC 4217 y el utilizado por vsftpd, es FTPS Explícito (Explicit FTPS o FTPES), donde el cliente realiza 
la conexión normal a través del puerto 21 y permitiendo negociar, de manera opcional, una conexión TLS. 

63.1.3. Acerca de RSA. 

RSA, acrónimo de los apellidos de sus autores, Ron Rivest, Adi Shamir y Len Adleman, es un algoritmo para 
cifrar claves públicas, el cual fue publicado en 1977 y patentado 1983, en EE.UU., por el Instituto Tecnológico 
de Michigan (MIT). RSA es utilizado en todo el mundo para los protocolos destinados para el comercio 
electrónico. 

URL: http://es.wikipedia.org/wiki/RSA 

63.1.4. Acerca de OpenSSL. 

OpenSSL es una implementación libre, de código fuente abierto, de los protocolos SSL (Secure Sockets Layer 
o Nivel de Zócalo Seguro) y TLS (Transport Layer Security o Seguridad para Nivel de Transporte). Está basado 
sobre el extinto proyecto SSLeay, iniciado por Eric Young y Tim Hudson, hasta que éstos comenzaron a 
trabajar para la división de seguridad de EMC Corporation. 

URL: http://www.openssl.org/ 

63.1.5. Acerca de X.509. 

X.509 es un estándar ITU-T (estandarización de Telecomunicaciones de la International Telecommunicatlon 
Uniorì) para infraestructura de claves públicas (PKI o Public Key Infrastructure). Entre otras cosas, establece 
los estándares para certificados de claves públicas y un algoritmo, para validación de ruta de certificación. Este 
último se encarga de verificar que la ruta de un certificado sea válida bajo una infraestructura de clave pública 
determinada. Es decir, desde el certificado inicial, pasando por certificados intermedios, hasta el certificado de 
confianza emitido por una Autoridad Certificadora (CA o Certification Authority). 

URL: http://es.wikipedia.Org/wiki/X.509 

63.1.6. Acerca de vsftpd. 

Vsftpd (Very Secure FTP Daemon) es un equipamiento lógico utilizado para implementar servidores de 
archivos a través del protocolo FTP. Se distingue principalmente porque sus valores predeterminados son muy 
seguros y por la sencillez para su configuración cuando se le es comparado con otras alternativas como 
ProFTPD y Wu-ftpd. En la actualidad se estima que vsftpd podría ser quizá el servidor FTP más seguro del 
mundo. 

URL: http://vsftpd.beasts.org/ 

63.2. Equipamiento lógico necesario. 

63.2.1. Instalación a través de yum. 

Ejecute lo siguiente para instalar lo necesario: 
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yum -y install vsftpd 

63.3. Archivos de configuración. 

/etc/vsftpd/chroot list 

Lista que definirá usuarios a enjaular o no a enjaular, dependiendo de la configuración. 

/etc/vsftpd/vsftpd.conf 

Archivo de configuración de VSFTPD. 

El archivo /etc/vsftpd/chroot_list es inexistente, por lo cual es conveniente crearlo antes de comenzar a 
trabajar con la configuración. Por favor ejecute lo siguiente antes de continuar: 

touch /etc/vsftpd/chroot_list 

63.3.1. Activar, iniciar, detener y reiniciar el servicio. 

63.3.1.1. CentOS 7 y Red Hat™ Enterprise Linux 7 y versiones posteriores. 

Ejecute lo siguiente para activar el servicio en todos los niveles de ejecución: 
systemctl enable vsftpd 

Ejecute lo siguiente para iniciar por primera vez el servicio: 
systemctl start vsftpd 

Ejecute lo siguiente para reiniciar el servicio o bien hacer que los cambios hechos a la configuración surtan 
efecto: 

systemctl restart vsftpd 
Ejecute lo siguiente para detener el servicio: 
systemctl stop vsftpd 

63.3.1.2. ALDOS 1.4, CentOS 6 y Red Hat™ Enterprise Linux 6 y versiones anteriores. 

Ejecute lo siguiente para activar el servicio en todos los niveles de ejecución: 
chkconfig vsftpd on 

Ejecute lo siguiente para iniciar por primera vez el servicio: 
service vsftpd start 

Ejecute lo siguiente para reiniciar el servicio o bien hacer que los cambios hechos a la configuración surtan 
efecto: 
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service vsftpd restart 


Ejecute lo siguiente para detener el servicio: 


service vsftpd stop 


63.4. Modificaciones necesarias en el muro cortafuegos. 

Es necesario abrir los puerto 20 y 21, por TCP (FTP-DATA y FTP, respectivamente) y el rango de puertos para 
conexiones pasivas que se haya definido. 

63.4.1. Firevvalld. 

Asumiendo que la red predeterminada corresponde a la zona public, ejecute lo siguiente para abrir los puertos 
requeridos: 


firewall-cmd --zone=public --add-service=ftp 
firewall-cmd --zone=public --add-port=20/tcp 
firewall-cmd --zone=public --add-port=30300-30309/tcp 


Ejecute lo siguiente para anadir de manera permanente la regla correspondiente: 


firewall-cmd --permament --zone=public --add-service=ftp 
firewall-cmd --permanent --zone=public --add-port=20/tcp 
firewall-cmd --permanent --zone=public --add-port=30300-30309/tcp 


Si utiliza la zona block, drop o external, simplemente reemplace public por la zona correspondiente en las 
reglas descritas arriba. 

63.4.2. Servicio iptables. 

Ejecute lo siguiente para anexar las reglas de iptables correspondientes: 


iptables -A 

INPUT -m 

state 

--state 

NEW -m 

tcp 

-p 

tcp 

- -dport 

20 

-3 

ACCEPT 

iptables -A 

INPUT -m 

state 

--state 

NEW -m 

tcp 

-p 

tcp 

- -dport 

21 

-3 

ACCEPT 

iptables -A 

INPUT -m 

state 

--state 

NEW -m 

tcp 

-p 

tcp 

- -dport 

30300 

: 30309 -j ACCEPT 


Ejecute lo siguiente para guardar los cambios: 


service iptables save 


O bien anada lo siguiente al archivo /etc/sysconfig/iptables: 


-A 

INPUT -m 

state 

--state 

NEW -m 

tcp 

-P 

tcp 

- -dport 

20 -j 

ACCEPT 

-A 

INPUT -m 

state 

--state 

NEW -m 

tcp 

-P 

tcp 

- -dport 

21 -j 

ACCEPT 

-A 

INPUT -m 

state 

--state 

NEW -m 

tcp 

-P 

tcp 

- -dport 

30300 

: 30309 -j ACCEPT 


Y reinicie el servicio iptables: 


service iptables restart 
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63.4.3. Shorewall. 

Edite el archivo /etc/shorewall/rules: 

vi /etc/shorewall/rules 

Las reglas corresponderían a algo similar a lo siguiente, permitiendo el acceso hacia el servicio FTP desde 
cualquier zona del muro cortafuegos: 

#ACTION SOURCE DEST PROTO DEST SOURCE 

# PORT PORT(S)1 

ACCEPT all fW tcp 20,21,30300:30309 


Reinicie el servicio para aplicar los cambios: 
service shorewall restart 

63.5. Procedimientos. 

63.5.1. SELinux y el servicio vsftpd. 

SELinux controla varias funciones de el servicio vsftpd incrementando el nivel de seguridad de éste. 

Ejecute lo siguiente para permitir que el servidor FTP pueda asociarse a cualquier puerto sin reservar al 
funcionar en modo pasivo: 

setsebool -P ftpd_use_passive_mode=l 

Si se necesita permitir el acceso utilizando las cuentas de usuarios del anfitrión local —a fin de que éstos 
puedan acceder a sus directorio de inicio— se debe habilitar la política ftp_home_dir: 

setsebool -P ftp_home_dir=l 

Ejecute lo siguiente para permitir que los usuarios anónimos puedan realizar procesos de escritura sobre el 
sistema de archivos: 


setsebool -P allow_ftpd_anon_write=l 


Ejecute lo siguiente para hacer que SELinux permita acceder a los usuarios locales al resto del sistema de 
archivos: 


setsebool -P allow_ftpd„full_access 1 


Ejecute lo siguiente para permitir que el servicio vsftpd pueda hacer uso de sistemas de archivos remotos a 
través de CIFS (Samba) o NFS y que serán utilizados para compartir a través del servicio: 

setsebool -P allow_ftpd_use_cifs 1 
setsebool -P allow_ftpd_use„nfs 1 


63.5.2. Archivo /etc/vsftpd/vsftpd.conf. 
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El servicio funciona de manera estándar sin necesidad de modificar la configuración. Sin embargo hay varias 
opciones de configuración que pueden modificarse para hacer más seguro el servicio y anadir funcionalidad. 

Edite el archivo /etc/vsftpd/vsftpd.conf. 


vi /etc/vsftpd/vsftpd.conf 


63.5.3. Opción anonymous_enable. 

Esta opción viene incluida en la configuración predeterminada. Se utiliza para definir si se permitirán los 
accesos anónimos al servidor. Establezca como valor YES o NO de acuerdo a lo que se requiera. Establecer 
YES permitirá a cualquiera acceder libremente al los datos almacenados dentro del directorio /var/ftp, el cual 
está vacío de modo predeterminado. Decida qué hacer. Si tiene dudas, establezca NO. 


anonymous_enable=YES 


63.5.4. Opción local_enable. 

Esta opción viene incluida en la configuración predeterminada. Establece si se van a permitir los accesos 
autenticados de los usuarios locales del sistema. Establezca como valor YES o NO de acuerdo a lo que se 
requiera. Decida qué hacer. salvo que sólo quiera permitir acceso anónimo, establezca YES, otro modo tendría 
poca utilidad el servicio. 


local__enable=YES 


63.5.5. Opción write_enable. 

Esta opción viene incluida en la configuración predeterminada. Establece si se permite ejecutar write (escritura) 
en el servidor. Establezca como valor YES o NO de acuerdo a lo que se requiera. Decida qué hacer. salvo que 
sólo quiera permitir acceso anónimo, establezca YES, otro modo tendría poca utilidad el servicio. 


write_enable=YES 


63.5.6. Opciones anon_upload_enable y anon_mkdir_write_enable. 

Ambas opciones vienen incluidas en la configuración predeterminada. 

La opción anon_upload_enable específica si los usuarios anónimos tendrán permitido subir contenido al 
servidor. Por lo general no es una función deseada, por lo que se acostumbra desactivar ésta. Decida qué 
hacer. Si tiene dudas, establezca para ambas NO 


anon_upload„enable=NO 


La opción anon_mkdir_write_enable específica si los usuarios anónimos tendrán permitido crear directorios 
en el servidor. Al igual que la anterior, por lo general no es una función deseada, por lo que se acostumbra 
desactivar ésta. 


anon_mkdir_write„enable=NO 
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Nota. 

Si se desea que los usuarios anónimos puedan subir archivos al servidor FTP, se deben dejar estas últimas dos 
opciones con valor YES, guardar el archivo /etc/vsftpd/vsftpd.conf y regresar al intérprete de mandatos para crear un 
directorio denominado /var/ftp/incoming, el cual debe pertenecer al usuario y grupo ftp y tener contexto de SELinux 
tipo public content rw_t. 


mkdir /var/ftp/incoming 

chown ftp:ftp /var/ftp/incoming 

chcon -R -t public_content_rw_t /var/ftp/incoming 


Se recomienda que /var/ftp/incoming esté asignado como una partición independiente al resto del sistema o bien se le 
aplique cuota de disco al usuario ftp, porque de otro modo cualquiera podríafáciimente saturar el espacio de 
aimacenamiento disponible, desencadenando una denegación de servicio en el servidor. 


63.5.7. Opción ftpd_banner. 

Esta opción viene incluida en la configuración predeterminada. Sirve para establecer el banderín de bienvenida 
que será mostrado cada vez que un usuario acceda al servidor. Puede establecerse cualquier frase breve que 
considere conveniente, pero sin signos de puntuación. 

ftpd_banner=Bienvenido al servidor FTP de nuestra empresa 


63.5.8. Estableciendo jaulas para los usuarios: opciones chroot_local_user y 
chroot_list_file. 

Estas opciones vienen incluidas —pero desactivadas— en la configuración predeterminada. 

De modo predeterminado los usuarios del sistema que se autentiquen tendrán acceso a otros directorios del 
sistema fuera de su directorio personal. Si se desea limitar a los usuarios a sólo poder utilizar su propio 
directorio personal, puede hacerse fácilmente con la opción chroot_local_user que habilitará la función de 
chroot() y las opciones chrootJisLenable y chrootjistjile, para establecer el archivo con la lista de 
usuarios que quedarán excluidos de la función chrootQ. 


chroot_local_user=YES 

chroot_list_enable=YES 

chroot_list_file=/etc/vsftpd/chroot_list 


Con lo anterior cada vez que un usuario local se autentique en el servidor FTP, sólo tendrá acceso a su propio 
directorio personal y lo que éste contenga. Por favor recuerde crear el archivo /etc/vsftpd/chrootjist debido 
a que de otro modo será imposible que funcione correctamente el servicio vsftpd. 

La función chroot() puede ser peligrosa si el usuario regular utilizado tiene acceso al intérprete de mandatos del 
sistema (/bin/bash o /bin/sh) y además privilegios de escritura sobre el directorio raíz de su propia jaula (es 
decir su directorio de inicio). Los directorios de inicio de los usuarios involucrados deben tener permiso 755, 
sean propiedad de rooty se asigne al usuario /bin/false o /sbin/nologin como intérprete de mandatos. 

Guarde los cambios realizados hasta ahora, salga del editor de texto y realice el siguiente procedimiento, el cual 
corresponde a lo que sería necesario ejecutar para modificar el contenido del directorio de inicio del usuario 
regular —en este ejemplo se utiliza a mengano— con el cual se quiera acceder al servidor FTP utilizando 
chrootQ con vsftpd-3.0 y versiones posteriores: 
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chmod 755 /home/mengano 

chown root:root /home/mengano 

mkdir -p -m 755 /home/mengano/public_html 

mkdir -p -m 700 /home/mengano/{mail,.ssh} 

chown mengano:mengano /home/mengano/{mail,publichtml,.ssh} 

usermod -s /sbin/nologin mengano 


Desde la versión 3.0 de vsftpd, de modo predeterminado se impide el ingreso con chroot() a todos los usuarios 
regulares que tengan acceso al intérprete de mandatos o bien que posean privilegios de escritura sobre su 
propio directorio de inicio. 


Vuelva a editar el archivo de configuración para continuar con los procedimientos. 


vi /etc/vsftpd/vsftpd.conf 


63.5.9. Opciones pasv_min_port y pasv_max_port. 

Ambas opciones están ausentes en el archivo /etc/vsftpd/vsftpd.conf. Anada éstas al final del archivo de 
configuración. Permiten establecer el rango arbitrario de puertos utilizados para las conexiones pasivas. 
Puede elegirse cualquier rango de puertos entre 1024 y 65535, mismo que deberá ser habilitado en el muro 
cortafuegos del servidor. En el siguiente ejemplo se establece el rango de puertos para conexiones pasivas de 
30300a30309: 


pasv_min_port=30300 

pasv_max_port=30309 


63.5.10. Control del ancho de banda. 

63.5.10.1. Opción anon_max_rate. 

Esta opción está ausente en la configuración predeterminada. Puede anadirla al final del archivo 
/etc/vsftpd/vsftpd.conf . Se utiliza para limitar la tasa de transferencia, en bytes por segundo, para los usuarios 
anónimos, algo sumamente útil en servidores FTP de acceso público. En el siguiente ejemplo se limita la tasa 
de transferencia a 500 Kb por segundo para los usuarios anónimos: 


anon_max_rate=524288 


63.5.10.2. Opción local_max_rate. 

Esta opción está ausente en la configuración predeterminada. Puede anadirla al final del archivo 
/etc/vsftpd/vsftpd.conf. Hace lo mismo que anon_max_rate, pero aplica para usuarios locales del servidor. 
En el siguiente ejemplo se limita la tasa de transferencia a 1 MB por segundo para los usuarios locales: 


local_max_rate=1048576 


63.5.10.3. Opción max_clients. 

Esta opción está ausente en la configuración predeterminada. Puede anadirla al final del archivo 
/etc/vsftpd/vsftpd.conf. Establece el número máximo de clientes que podrán acceder simultáneamente hacia 
el servidor FTP. En el siguiente ejemplo se limitará el acceso a 20 clientes simultáneos. 


max_clients=20 
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63.5.10.4. Opción max_perjp. 

Esta opción está ausente en la configuración predeterminada. Puede anadirla al final del archivo 
/etc/vsftpd/vsftpd.conf. Establece el número máximo de conexiones que se pueden realizar desde una misma 
dirección IP. Tome en cuenta que algunas redes acceden a través de un servidor intermediario (Proxy) o puerta 
de enlace y debido a ésto podrían quedar bloqueados innecesariamente algunos accesos. En el siguiente 
ejemplo se limita el número de conexiones por IP simultáneas a un máximo de 10. 


max_per_ip=10 


Guarde el archivo y salga del editor de texto. 

63.5.10.5. Soporte TLS. 

Siendo que todos los datos enviados a través del protocolo FTP se hacen en texto simple (incluyendo nombres 
de usuario y claves de acceso), hoy en día es muy peligroso operar un servidor FTP sin SSL/TLS. 

VSFTPD puede ser configurado fácilmente para utilizar los protocolos SSL (Secure Sockets Layer o Nivel de 
Zócalo Seguro) y TLS (Transport Layer Security o Seguridad para Nivel de Transporte) a través de un 
certificado RSA. 

Acceda al directorio /etc/pki/tls/. 


cd /etc/pki/tls/ 


El certificado y firma digital se pueden generar ejecutando la siguiente línea para utilizar una estructura X.509, 
algoritmo de cifrado RSA de 4096 bits, sin Triple DES —lo cual permita iniciar normalmente al servicio sin 
interacción alguna— y una validez por 1825 días —cinco anos. 


openssl req -sha256 -x509 -nodes -days 1825 -newkey rsa:4096 -keyout private/vsftpd.key 
-out certs/vsftpd.crt 


Lo anterior solicitará se ingresen los siguientes datos: 

• Código de dos letras para el país. 

• Estado o provincia. 

• Ciudad. 

• Nombre de la empresa o bien la razón social. 

• Unidad o sección responsable del certificado. 

• Nombre del anfitrión (FQDN). 

• Dirección de correo electrónico de la persona responsable del certificado. 
La salida devuelta sería similar a la siguiente: 
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[root@cursocentos -]# openssl req -sha256 
private/vsftpd.key -out certs/vsftpd.crt 
Generating a 4096 bit RSA private key 


-x509 -nodes -days 1825 -newkey rsa:4096 -keyout 


writing new private key to 'private/vsftpd.key' 


You are about to be asked to enter information that will be incorporated into your certificate 
request. 

What you are about to enter is what is called a Distinguished Name or a DN. 

There are quite a few fields but you can leave some blank 
For some fields there will be a default value, 

If you enter ' the field will be left blank. 


Country Name (2 letter code) [GB]:MX 

State or Province Name (full name) [Berkshire]:Distrito Federal 
Locality Name (eg, city) [Newbury]:Mexico 

Organization Name (eg, company) [My Company Ltd]:Empresa, S.A. de C.V. 
Organizational Unit Name (eg, section) []:Departamento de sistemas 
Common Name (eg your name or your server's hostname) []: servidor.dominio.com 
Email Address []:webmaster§dominio.org 
[root§cursocentos -]# _ 


El archivo del certificado (vsftpd.crt) y el de la firma digital (vsftpd.key), deben tener permisos de lectura y 
escritura sólo para el usuario root. 

chmod 600 certs/vsftpd.crt private/vsftpd.key 


Regrese al directorio de inicio del usuario root. 


cd 


Edite el archivo /etc/vsftpd/vsftpd.conf: 


vi /etc/vsftpd/vsftpd.conf 


Ahada al final de este archivo todo el siguiente contenido: 


# Habilita el soporte de TLS/SSL 
ssl_enable=YES 

# Deshabilita o habilita utilizar TLS/SSL con usuarios anónimos 
allow_anon_ssl=NO 

# Obliga a utilizar TLS/SSL para todas las operaciones, es decir, 

# transferencia de datos y autenticación de usuarios locales. 

# Establecer el valor NO, hace que sea opcional utilizar TLS/SSL. 
force_local_data_ssl=YES 

force_local_logins_ssl=YES 

# Se prefiere TLSvl sobre SSLv2 y SSLv3 
ssl_tlsvl=YES 

ssl_sslv2=N0 

ssl_sslv3=N0 

# Rutas del certificado y firma digital 

rsa_cert_file=/etc/pki/tls/certs/vsftpd.crt 
rsa_private_key_file=/etc/pki/tls/private/vsftpd.key 
ssl_ciphers=HIGH 
require_ssl_reuse=NO 


Reinicie el servicio para aplicar los cambios realizados a la configuración. 

Ejecute lo siguiente si utiliza CentOS 7 o Red Hat™ Enterprise Linux 7 y versiones posteriores: 


systemctl restart vsftpd 
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Ejecute lo siguiente si utiliza ALDOS 1.4, CentOS 6 o Red Hat™ Enterprise Linux 6 y versiones anteriores: 
service vsftpd restart 

63.6. Clientes recomendados para acceder a FTPES. 

63.6.1. Terminal. 

Entre los clientes recomendados para acceder a través de FTPES está LFTP. Probablemente el mejor. Instale 
éste ejecutando lo siguiente 

yum -y install lftp 

Ejecute Iftp con las opciones -e con 'set ftp:ssl-force true' como argumento y nuevamente -e con 'set ssi.verify- 
certificate no' como argumento y defina un nombre de anfitrión o dirección IP como último argumento. En el 
siguiente ejemplo se iniciará una conexión hacia un hipotético anfitrión con dirección IP 192.168.70.105: 

Iftp -e 'set ftp:ssl-force true' -e 'set ssl:verify-certificate no' 192.168.70.105 

Una vez en el intérprete de mandatos de LFTP, ejecute user con un nombre de usuario como argumento. En el 
siguiente ejemplo se utiliza al usuario fulano: 

lftp 192.168.70.105:-> user fulano 

Lo anterior solicitará a continuación se ingrese la contrasena correspondiente. 

Dentro intérprete de mandatos de Iftp, ejecute pwd. 

lftp 192.168.70.105:-> pwd 

Lo anterior devolverá una salida similar a la siguiente. 

ftp://fulano§192.168.70.105/ 

Ejecute mkdir con prueba como argumento. 

lftp 192.168.70.105:-> mkdir prueba 

Lo anterior devolverá una salida similar a la siguiente. 

mkdir ok, 'prueba' creado 
Ejecute Is. 

lftp 192.168.70.105:-> ls 

Lo anterior devolverá una salida similar a la siguiente. 

drwxr-xr-x 2 500 500 4096 Dec 13 04:36 prueba 
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Para salir de Iftp, ejecute bye. 


lftp 192.168.70.105:~> bye 


63.6.2. Escritorio. 

Clientes gráficos con soporte para FTPES incluyen a Filezilla —configurar conexión como FTPES - FTP sobre 
TLS/SSL explícito — y WinSCP. Al momento de redactar este documento, la versión más reciente de gFTP 
tienen roto el soporte para FTP sobre TLS/SSL y por tanto resulta una alternativa muy inestable. 

Filezilla dispone de versiones para GNU/Linux, Mac OS X y Windows XP/Vista/7. La siguiente imagen ilustra 
la configuración que se requiere utilizar. 



Configuración de cuenta FTPES en Filezilla. 

Luego de iniciada la conexión, la primera vez que Filezilla se conecte al servidor, se mostrará una ventana con 
la información del certificado y solicitará se acepte éste. Active la casilla que dice «Siempre confiar en el 
certificado en futuras sesiones» antes de hacer clic en el botón de « Aceptar.» 
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Dialogo de certificado de FTPES en Filezilla. 
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64. Configuración de OpenSSH. 

Autor: Joel Barrios Duehas 

Correo electrónico: darkshram en gmail punto com 

Sitio de Red: http://www.alcancelibre.org/ 


Creative Commons Reconocimiento-NoComercial-Compartirlgual 2.1 


© 1999-2016 Joel Barrios Duenas. Usted es libre de copiar, distribuir y comunicar públicamente la obra y hacer obras derivadas bajo las condiciones siguientes: a) 
Debe reconocer y citar al autor original. b) No puede utilizar esta obra para fines comerciales. c) Si altera o transforma esta obra o genera una obra derivada, sólo 
puede distribuir la obra generada bajo una licencia idéntica a ésta. Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. 
Alguna de estas condiciones puede no aplicarse si se obtiene el permiso del titular de los derechos de autor. Los derechos derivados de usos legítimos u otras 
limitaciones no se ven afectados por lo anterior. La información contenida en este documento y los derivados de éste se proporcionan tal cual son y los autores no 
asumirán responsabilidad alguna si el usuario o lector hace mal uso de éstos. 


64.1. Introducción. 

64.1.1. cQuéesSSH? 

SSH (Secure Shell) es un conjunto de estándares y protocolo de red que permite establecer una comunicación 
a través de un canal seguro entre un cliente local y un servidor remoto. Utiliza una llave pública para autenticar 
el servidor remoto y —de manera opcional— permitir al servidor remoto autenticar al usuario. SSH provee 
confidencialidad e integridad en la transferencia de los datos utilizando criptografía y MAC (Message 
Authentication Codes o Códigos de Autenticación de Mensaje). De modo predeterminado, escucha peticiones a 
través del puerto 22 por TCP. 

64.1.2. cQuéesSFTP? 

SFTP (SSH File Transfer Protocol) es un protocolo que provee funcionalidad de transferencia y manipulación de 
archivos a través de un flujo confiable de datos. Comúnmente se utiliza con SSH para proveer a éste de 
transferencia segura de archivos. 

64.1.3. cQuéesSCP? 

SCP (Secure Copy o Copia Segura) es una protocolo seguro para transferir archivos entre un anfitrión local y 
otro remoto, a través de SSH. Básicamente, es idéntico a RCP (Remote Copy o Copia Remota), con la 
diferencia de que los datos son cifrados durante la transferencia para evitar la extracción potencial de 
información a través de programas de captura de las tramas de red (packet sniffers). SCP sólo implementa la 
transferencia de archivos, pues la autenticación requerida es realizada a través de SSH. 

64.1.4. tQué es OpenSSH? 

OpenSSH (Open Secure Shell) es una alternativa de código fuente abierto, con licencia BSD, hacia la 
implementación propietaria y de código cerrado SSH creada por Tatu Ylònen. OpenSSH es un proyecto 
creado por el equipo de desarrollo de OpenBSD y actualmente dirigido por Theo de Raadt. Se considera es 
más segura que la versión privativa Ylònen, gracias a la constante auditoría que se realiza sobre el código 
fuente por parte de una enorme comunidad de desarrolladores, una ventaja que brinda el Softvvare Libre. 

OpenSSH incluye servicio y clientes para los protocolos SSH, SFTP y SCP. 

URL: http://www.openssh.org/. 

64.2. Equipamiento lógico necesario. 

64.2.1. En CentOS y Red Hat™ Enterprise Linux. 
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Si realizó una instalación mínima, ejecute lo siguiente para instalar la paquetería necesaria: 
yum -y install openssh openssh-server openssh-clients 

64.2.2. En openSUSE™ y SUSE™ Linux Enterprise. 

Si realizó una instalación mínima, ejecute lo siguiente para instalar la paquetería necesaria: 
yast -i openssh 

64.3. Activar, desactivar, iniciar, detener y reiniciar el servicio ssh. 

De modo predeterminado el servicio está activo en todos los niveles de ejecución. 

64.3.1. CentOS 7 y Red Hat™ Enterprise Linux 7 y versiones posteriores. 

Ejecute lo siguiente para desactivar el servicio de todos los niveles de ejecución ejecute: 
systemctl disable sshd 

Ejecute lo siguiente para iniciar por primera vez el servicio: 
systemctl start sshd 

Ejecute lo siguiente para reiniciar el servicio y aplicar cambios en la configuración: 
systemctl restart sshd 

Ejecute lo siguiente para detener el servicio: 
systemctl stop sshd 

64.3.2. ALDOS 1.4, CentOS 6 y Red Hat™ Enterprise Linux 6 y versiones anteriores. 

Ejecute lo siguiente para desactivar el servicio de todos los niveles de ejecución ejecute: 
chkconfig sshd off 

Ejecute lo siguiente para iniciar por primera vez el servicio: 
service sshd start 

Ejecute lo siguiente para reiniciar el servicio y aplicar cambios en la configuración: 
service sshd restart 

Ejecute lo siguiente para detener el servicio: 
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service sshd stop 

64.3.3. En openSUSE™ y SUSE™ Linux Enterprise. 

Ejecute lo siguiente para desactivar el servicio en todos los niveles de ejecución: 
insserv -r sshd 

Ejecute lo siguiente para iniciar por primera vez el servicio: 
rcsshd start 

Ejecute lo siguiente para reiniciar el servicio y aplicar cambios en la configuración: 
rcsshd restart 

Ejecute lo siguiente para detener el servicio: 
service sshd stop 

64.4. Modificaciones necesarias en el muro cortafuegos. 

Es necesario abrir el puerto 22 por TCP (SSH) o bien el puerto que se haya seleccionado para el servicio. 

64.4.1. En CentOS y Red Hat™ Enterprise Linux. 

64.4.1.1. Utilizando system-config-firewall. 

Ejecute lo siguiente: 

system-config-firewall-tui 

Habilite la casilla de SSH y aplique los cambios. 


604 








Joel Barrios Duenas 


Configuración de Servidores con GNU/Linux 



Habilitando SSH en system-config-firewall-tui. 
O bien utilice la herramienta gráfica desde el escritorio. 
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Habilitando SSH en system-config-firewall. 


64.4.1.2. Servicio iptables. 

Ejecute lo siguiente: 


iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT 
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Guarde los cambios ejecutando lo siguiente: 
service iptables save 

O bien anada lo siguiente al archivo /etc/sysconfig/iptables: 

-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT 
Y reinicie el servicio iptables: 

service iptables restart 

64.4.1.3. Shorewall. 

Edite el archivo /etc/shorewall/rules: 

vi /etc/shorewall/rules 

Las regla correspondería a algo similar a lo siguiente: 


#ACTI0N 

SOURCE DEST 

PR0T0 DEST 

SOURCE 

# 

PORT 

PORT(S)1 


ACCEPT 

all fw tcp 

22 



Si se decide ofuscar el puerto de SSH, puede utilizar la siguiente regla, donde en lugar del puerto 22 de deberá 
especificar el puerto que haya elegido —52341 en el ejemplo: 

#ACTI0N SOURCE DEST PROTO DEST SOURCE 

# PORT PORT(S)1 

ACCEPT all fw tcp 52341 

Reinicie el servicio ejecutando lo siguiente: 
service shorewall restart 

64.4.2. En openSUSE™ y SUSE™ Linux Enterprise. 

Ejecute yast con firewall como argumento: 
yast firewall 

Habilite Secure Shell Server —o bien el puerto seleccionado para utilizar el servicio— y aplique los cambios. 
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Módulo de cortafuegos de YaST, habilitando Secure Shell Server en modo texto. 
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O bien haga lo mismo desde YaST -» Seguridad y usuarios - Cortafuegos -» Allovved Servlces o Servicios 
autorizados y aplique los cambios. 
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Módulo de cortafuegos de YaST, habilitando Secure Shell Server desde el escritorio. 

64.5. SELinux y el servicio sshd. 
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Si utiliza openSUSE™ y SUSE™ Linux Enterprise omita la siguiente sección. 

Si utiliza CentOS o Red Hat™ Enterprise Linux, el sistema incluye varias políticas para el servicio sshd. 

64.5.1. Puerto distinto al 22. 

Si configura el servicio para utilizar un puerto distinto al 22, debe cambiar el contexto de SELinux de éste para 
permitir al servicio hacer uso de éste. En el siguiente ejemplo se permite utilizar el puerto 52341: 

semanage port -a -t sshportt -p tcp 52341 

64.5.2. Política ssh_chroot_rw_homedirs. 

Habilita los atributos lectura y escritura de archivos en los directorios de inicio de los usuarios con chroot. El 
valor predeterminado es deshabilitado. Para habilitar sólo ejecute: 

setsebool -P ssh_chroot_rw_homedirs 1 

64.5.3. Política fenced_can_ssh. 

Permite a usuarios con chroot poder ingresar también a través de SSH. El valor predeterminado es 
deshabilitado. Por lo general se evita utilizar esta política. Para habilitar ejecute: 

setsebool -P fenced can ssh 1 


64.5.4. Política ssh_chroot_manage_apache_content. 

Esta política es inexistente en CentOS 7 y Red Hat™ Enterprise Linux 7 y versiones posteriores de éstos. 
En CentOS 6 y Red Hat™ Enterprise Linux 6 permite a usuarios con chroot poder administrar también 
contenidos publicados a través de Apache. El valor predeterminado es deshabilitado. Para habilitar ejecute: 


setsebool -P ssh_chroot_manage_apache_content 1 


64.5.5. Política ssh_sysadm_login. 

Habilita el acceso a usuarios con rol de administrador de sistema (contextos sysadm_r:sysadm_t. El valor 
predeterminado es deshabilitado. Para habilitar ejecute: 


setsebool -P sshsysadmlogin 1 


64.5.6. Política allow_ssh_keysign. 

Habilita el uso de firmas digitales. El valor predeterminado es deshabilitado. Para habilitar ejecute: 
setsebool -P allow_ssh_keysign 1 

Para más detalles, consulte el documento titulado « OpenSSH con autenticación a través de firma digital ». 

64.5.7. Contexto ssh home t. 
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El contexto de SELinux para de los directorios ~/.ssh — y sus contenidos— debe ser tipo ssh_home_t. 
Reasigne los contextos ejecutando lo siguiente: 

restorecon -Rv /root/.ssh /home/*/.ssh 

O bien ejecutando: 

chcon -R -t ssh_home_t /root/.ssh /home/*/.ssh 

64.6. Archivos de configuración. 

/etc/ssh/sshd_config 

Archivo principal de configuración del servidor SSH. 

/etc/ssh/ssh_config 

Archivo principal de configuración de los clientes SSH utilizados desde el anfitrión local. 


~/.ssh/config 

Archivo personal para cada usuario, que almacena la configuración utilizada por los clientes SSH 
utilizados desde el anfitrión local. Permite al usuario local utilizar una configuración distinta a la 
definida en el archivo /etc/ssh/ssh_config. 


~/.ssh/known_hosts 

Archivo personal para cada usuario, el cual almacena las firmas digitales de los servidores SSH a 
los que se conectan los clientes. Cuando éstas firmas cambian, se pueden actualizar ejecutando 
ssh-keygen con la opción -R y el nombre del anfitrión como argumento, el cual elimina la entrada 
correspondiente del archivo ~/.ssh/known_hosts, permitiendo anadir de nuevo el anfitrión con una 
nueva firma digital. Ejemplo: ssh-keygen -R nombre.o.ip.servidor. 


~/.ssh/authorized keys 

Archivo personal para cada usuario, el cual almacena los certificados de los clientes SSH, para 
permitir autenticación hacia servidores SSH sin requerir contrasena. Consulte el documento titulado 

«OpenSSH con autenticación através de firma digital.» 

Cuando se utilizan cuentas con acceso al intérprete de mandatos, las opciones suministradas a ssh tienen 
precedencia sobre las opciones establecidas en el archivo ~/.ssh/config, que a su vez tiene precedencia sobre 
las opciones definidas en el archivo /etc/ssh/ssh_config. 

64.7. Procedimientos. 

Edite el archivo /etc/ssh/sshd_config. 


vi /etc/ssh/sshd_config 


Acontinuación se analizarán las opciones básicas que se recomienda modificar. 
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64.7.1. Opción Port. 

Una forma de elevar considerablemente la seguridad al servicio consiste en cambiar el número de puerto 
predeterminado por otro que sólo conozca el administrador del sistema. A este tipo de técnicas se les conoce 
como Seguridad por Oscuridad. La mayoría de los delincuentes informáticos utiliza guiones que buscan 
servidores que respondan a peticiones a través del puerto 22. Cambiar de puerto disminuye considerablemente 
la posibilidad de una intrusión. 


Port 22 


SSH trabaja a través del puerto 22 por TCP. Puede elegirse cualquier otro puerto entre el 1025 y 65535. En el 
siguiente ejemplo se establecerá el puerto 52341: 


Port 52341 


64.7.2. Opción ListenAddress. 

De modo predeterminado el servicio de SSH escuchará peticiones a través de todas las direcciones presentes 
en todas las interfaces de red del sistema. En el siguiente ejemplo el servidor a configurar tiene la dirección IP 
192.168.1.254, la cual sólo podría ser accedida desde la red local: 


ListenAddress 192.168.1.254 


64.7.3. Opción PermitRootLogin. 

Establece si se va a permitir el ingreso directo del usuario root al servidor SSH. Si se va a permitir el ingreso 
hacia el servidor desde redes públicas, resultará prudente utilizar esta opción con el valor no, de modo que sea 
necesario ingresar primero con una cuenta de usuario activa, con un intérprete de mandatos que permita el 
acceso. 


PermitRootLogin no 


64.7.4. Opción PasswordAuthentication. 

64.7.5. Esta opción habilita o deshabilita la autenticación con contrasenas. De modo 
predeterminado está permitido el acceso autenticado con contrasenas. Si pone como 
valor «no» sólo se permitirá el acceso a través de firmas digitales. Por favor, evite 
cambiar el valor de esta opción hasta haber instalado su firma digital. 


PasswordAuthentication yes 


64.7.6. Opción XllForwarding. 

Establece si se permitirá la ejecución remota de aplicaciones gráficas que utilicen el servidor Xll. Resultará 
conveniente para algunas tareas administrativas que sólo puedan llevarse a cabo con herramientas gráficas o 
bien si se requiere utilizar una aplicación gráfica en particular. Para este fin, esta opción puede establecerse con 
el valor yes. 


XllForwarding yes 
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64.7.7. Opción AllovvUsers. 

Permite restringir el acceso por usuario y/o por anfitrión. El siguiente ejemplo restringe el acceso hacia el 
servidor SSH para que sólo puedan hacerlo los usuarios fulano y mengano, desde cualquier anfitrión. 


AllowLlsers fulano mengano 


El siguiente ejemplo restringe el acceso hacia el servidor SSH para que sólo puedan hacerlo los usuarios fulano 
y mengano, pero sólo desde los anfitriones 10.1.1.1 y 10.2.2.1. 


AllowUsers fulano@10.1.1.1 mengano@10.1.1.1 fulano@10.2.2.1 mengano@10.2.2.1 


64.7.8. Opción UseDNS. 

Cuando un cliente realiza una conexión hacia un servidor SSH, éste último intentará resolver la dirección IP del 
cliente. Si el servidor DNS predeterminado del sistema carece de una zona de resolución inversa que resuelva 
un nombre para la dirección IP del cliente, la conexión se demorará algunos segundos más de lo normal. 
Algunos administradores prefieren desactivar esta función con el fin de agilizar las conexiones SSH en redes 
donde se carece de servidores DNS que tengan zonas de reenvío para resolver los nombres o zonas de 
resolución inversa para resolver las direcciones IP de los segmentos de red local. 


UseDNS no 


Del lado del cliente se realiza un proceso de validación, que tiene como objetivo verificar si se están falsificando 
registros en un servidor DNS, en el caso de que éste último se haya visto comprometido en su seguridad. La 
opción que controla esta función es CheckHostlP, tiene establecido yes como valor predeterminado y se define 
en el archivo /etc/ssh/ssh_config (archivo de configuración para los clientes SSH del anfitrión local). 

Se recomienda dejar intacta esta opción con el valor predeterminado, salvo que los servidores SSH 
involucrados carezcan de resolución en algún servidor DNS. Establecer el valor no, tiene como riesgo el ser 
susceptible de conectarse inadvertidamente a un servidor distinto al que realmente se quería utilizar, cuya 
resolución de nombre de anfitrión haya sido falsificada y que pudiera estar siendo utilizado con malas 
intenciones para enganar y poder capturar nombres de usuario y contrasenas y posteriormente utilizar éstos 
para acceder al verdadero servidor. 

64.8. Probando OpenSSH. 

64.8.1. Acceso con intérprete de mandatos. 

64.8.1.1. Desde GNU/Linux y Mac OS X. 

Para acceder con intérprete de mandatos hacia el servidor, ejecute ssh desde una terminal en el sistema 
cliente, definiendo como argumentos el usuario a utilizar, una arroba y la dirección IP o nombre del servidor al 
cual se quiera conectar: 


ssh usuario@nombre.o.ip.servidor 


Si el servidor SSH utiliza un puerto distinto al 22, se puede utilizar la opción -p con el número de puerto utilizado 
como argumento. En el siguiente ejemplo se utiliza la cuenta del usuario juan para acceder hacia el servidor 
con dirección IP 192.168.70.99, el cual tiene un servicio de SSH que escucha peticiones a través del puerto 
52341. 
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ssh -p 52341 juan@192.168.70.99 


64.8.1.2. Desde Windows. 

Acceda hacia putty.org, descargue y ejecute PuTTY. Éste es un cliente para SSH para todas las versiones de 
Windows. 



Ventana de configuración de PuTTY. 
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Aceptando firma digital de servidor SSH en PuTTY. 



Ingresando a un servidor SSH con PuTTY. 

64.8.2. Transferencia de archivos a través de SFTP. 


613 














Joel Barrios Duenas 


Configuración de Servidores con GNU/Linux 


Para acceder a través de SFTP hacia el servidor, ejecute sftp desde el sistema cliente definiendo el usuario a 
utilizar, una arroba y el nombre o dirección IP del servidor remoto: 


sftp usuario@servidor 


El intérprete de mandatos de SFTP es muy similar al utilizado para el protocolo FTP y tiene las mismas 
funcionalidades. 

Ejecute sftp con la opción -o con el valor Port=número de puerto para acceder hacia un servidor SSFI en un 
puerto distinto al 22. En el siguiente ejemplo se intentará acceder con el usuario juan hacia el servidor con 
dirección IP 192.168.70.99 y que escucha peticiones en el puerto 52341: 

sftp -o Port=52341 juan@192.168.70.99 


Si utiliza GNOME 2.x o MATE como escritorio, puede acceder hacia servidores SSH a través del protocolo 
SFTP utilizando el administrador de archivos (Nautilus) para realizar transferencias y manipulación de archivos, 
especificando el URI (Uniform Resource Locator o Localizador Uniforme de Recursos) «sftp:», seguido del 
servidor y la ruta hacia la que se quiere acceder, seguido del puerto, en el caso que sea distinto al 22. 



Nautilus, accediendo hacia un directorio remoto a través de SFTP. 

64.8.2.1. Jaulas para los usuarios que acceden a través de SFTP. 

La función de chroot (jaula de confinamiento de los usuarios) viene incluida desde la versión 4.9pl de 
OpenSSH. 

Edite el archivo /etc/ssh/sshd_config: 


vi /etc/ssh/sshd_config 


Localice la siguiente línea resaltada. La encontrará casi al final del archivo: 
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Subsystem sftp /usr/libexec/openssh/sftp- 

server 


Deshabilite la línea con una almohadilla y anada el siguiente contenido resaltado: 


# override default of no subsystems 

#Subsystem sftp /usr/libexec/openssh/sftp-server 

Subsystem sftp internal-sftp 
Match Group sftpusers 
ChrootDirectory %h 
ForceCommand internal-sftp 
AllowTcpForwarding no 


Guarde el archivo, salga del editor de texto y regrese al intérprete de mandatos. 

Si utiliza CentOS o Red Hat™ Enterprise Linux, reinicie el servicio ejecutando lo siguiente: 
service sshd restart 

Si utiliza openSUSE™ o SUSE™ Linux Enterprise, reinicie el servicio ejecutando lo siguiente: 
rcsshd restart 

Ejecute groupadd con sftpusers como argumento para crear un grupo con este nombre. 
groupadd sftpusers 

Afiada usuarios a los cuales se quiera enjaular con chroot al grupo sftpusers ejecutando usermod con la 
opción -G (mayúscula) y sftpusers y el nombre del usuario como argumentos. Ejemplo: 

usermod -G sftpusers perengano 

Cambie los permisos del directorio de inicio de los usuarios involucrados para que pertenezcan al grupo y 
usuario root y además tengan permiso de acceso 755 —es decir drwxr-xr-x. 

chown root:root /home/perengano 
chmod 755 /home/perengano 

Genere un directorio donde el usuario y su grupo sí predeterminado tengan privilegios de escritura: 

mkdir -p -m 0755 /home/perengano/public_html 
mkdir -p -m 0700 /home/perengano/{mail,.ssh} 

chown perengano:perengano /home/perengano/{mail,.ssh,public html} 

Finalmente, cambie el intérprete de mandatos de los usuarios involucrados a /sbin/nologin. 
usermod -s /sbin/nologin perengano 

A partir de este momento los usuarios involucrados podrán ingresar al sistema a través de SFTP, pero sólo 
podrán tener acceso a su directorio de inicio. Ejemplo: 
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[fulano@centos6 ~]$ sftp perengano@192.168.80.8 
perengano@192.168.80.8's password: 

Connected to 192.168.80.8. 
sftp> pwd 

Remote working directory: / 
sftp> ls -a 

,bash_logout .bash_profile 

sftp> _ 


. bashrc public_html 



Accediendo con Nautilus a cuenta SFTP con chroot. 

64.8.3. Transferencia de archivos a través de SCP. 

Para realizar transferencias de archivos a través de SCP, es necesario conocer las rutas de los directorios 
objetivo del anfitrión remoto. A continuación se describen algunas de las opciones más importantes de scp. 


-p (minúscula) 


Preserva el tiempo de modificación, tiempos de acceso y los modos del archivo original. 


-P (mayúscula) 


Especifica el puerto para realizar la conexión. 


-r 


Copia en modo descendente de los directorios especificados. 


En el siguiente ejemplo se transferirá el archivo algo.txt — preservando tiempos y modos— hacia el directorio 
de inicio del usuario fulano en el servidor 192.169.0.99. 


scp -p algo.txt fulano@192.168.70.99:-/ 
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En el siguiente ejemplo se transferirá la carpeta Mail, junto con todo su contenido, preservando tiempos y 
modos, hacia el directorio de inicio del usuario fulano en el servidor 192.169.0.99. 

scp -rp Mail fulano@192.168.70.99:~/ 

En el siguiente ejemplo se transferirá la carpeta Mail, junto con todo su contenido, desde el directorio de inicio 
del usuario fulano en el servidor 192.169.0.99, cuyo servicio de SSH escucha peticiones a través del puerto 
52341, preservando tiempos y modos, hacia el directorio del usuario con el que se está trabajando en el 
anfitrión local. 

scp -P 52341 -rp fulano@192.168.70.99:~/Mail ./ 

Por favor continúe con el documento titulado «OpenSSH con autenticación a través de firma digital .» 
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65. OpenSSH con autenticación a través de firma 
digital. 

Autor: Joel Barrios Duehas 

Correo electrónico: darkshram en gmail punto com 

Sitio de Red: http://www.alcancelibre.org/ 


Creative Commons Reconocimiento-NoComercial-Compartirlgual 2.1 


© 1999-2016 Joel Barrios Duenas. Usted es libre de copiar, distribuir y comunicar públicamente la obra y hacer obras derivadas bajo las condiciones siguientes: a) 
Debe reconocer y citar al autor original. b) No puede utilizar esta obra para fines comerciales. c) Si altera o transforma esta obra o genera una obra derivada, sólo 
puede distribuir la obra generada bajo una licencia idéntica a ésta. Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. 
Alguna de estas condiciones puede no aplicarse si se obtiene el permiso del titular de los derechos de autor. Los derechos derivados de usos legítimos u otras 
limitaciones no se ven afectados por lo anterior. La información contenida en este documento y los derivados de éste se proporcionan tal cual son y los autores no 
asumirán responsabilidad alguna si el usuario o lector hace mal uso de éstos. 


65.1. Introducción. 

Utilizar firmas digitales en lugar de contrasenas a través de servicios como SSH, SCP o SFTP, resulta una 
técnica más segura para autenticar dichos servicios, facilitando también la operación de guiones y herramientas 
de respaldo que utilizan dichos protocolos. 

Los procedimientos descritos en este documento asumen existe un hipotético servidor con dirección IP 
192.168.70.15. Reemplace esta dirección IP por la que corresponda al servidor que se desea configurar. 

65.2. Procedimientos 

65.2.1. Procedimientos en el Servidor remoto. 

Acceda como administrador al servidor remoto. Ejemplo: 

ssh root@192.168.70.15 


Si utiliza openSUSE™ o SUSE™ Linux Enterprise omita el siguiente paso. Si utiliza CentOS o Red Hat™ 
Enterprise Linux ejecute lo siguiente para habilitar la política para SELinux denominada allow_ssh_keysign: 

setsebool -P allow_ssh_keysign 1 


Si utiliza CentOS o Red Hat™ Enterprise Linux ejecute lo siguiente para crear el directorio ~/.ssh/ con permiso 
de acceso de lectura/escritura sólo para el usuario y cambiar el contexto SELinux al tipo ssh_home_t, crear el 
archivo ~/.ssh/authorized_keys igualmente con permiso de acceso de lectura/escritura sólo para el usuario y 
cambiar el contexto SELinux al tipo ssh_home_t: 


mkdir -m 0700 ~/.ssh/ 
touch ~/.ssh/authorized_keys 
chmod 600 ~/.ssh/authorized_keys 
chcon -R -t ssh„home_t ~/.ssh 


Si utiliza openSUSE™ o SUSE™ Linux Enterprise ejecute lo siguiente para crear el directorio ~/.ssh/ con 
permiso de acceso de lectura/escritura sólo para el usuario, crear el archivo ~/.ssh/authorized_keys 
igualmente con permiso de acceso de lectura/escritura sólo para el usuario: 


mkdir -m 0700 ~/.ssh/ 

touch ~/.ssh/authorized_keys 

chmod 600 ~/.ssh/authorized_keys 
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Salga del servidor después de haber creado el directorio y archivo descrito y de haber configurado los permisos 
correspondientes. 


exit 


65.2.2. Procedimientos en el sistema cliente. 

Realice los siguientes procedimientos desde el sistema cliente. 

65.2.2.1. Generar firmas digitales. 

Genere una firma digital (firma digital pública) tipo DSA (Digital Signature Algorithm o Algoritmo de Firma 
digital). Puede crear una firma tipo RSA, pero es poco recomendado debido a las puertas traseras que pudiera 
tener la NSA de EE.UU. sobre dicha tecnología. Es importante senalar que si desea utilizar la firma digital sin 
contrasena, jamás se deberá establecer una durante la generación de la firma digital. Cuando el diálogo solicite 
una contrasena con confirmación, sólo pulse la tecla (ENTER) y continúe el procedimiento. Si asigna 
contrasena, está será utilizada para autenticar el certificado creado cada vez que se quiera utilizar éste. 


ssh-keygen -t dsa 


El procedimiento devolverá una salida similar a la siguiente: 


[jbarrios@cursocentos -]# ssh-keygen -t dsa 
Generating public/private dsa key pair. 

Enter file in which to save the key (/home/usuario/. ssh/id__dsa): 
Enter passphrase (empty for no passphrase): 

Enter same passphrase again: 

Your identification has been saved in /home/usuario/.ssh/id_dsa. 
Your public key has been saved in /home/usuario/.ssh/id_dsa.pub. 
The key fingerprint is: 

2c:82:40:fe:81:21:a5:51:78:48:36:cd:57:af:36:df usuario§cliente 
The key's randomart image is: 

+ --[ DSA 1024]-+ 


. 0 = 

.+ o 
O . E O 
.0 = 0 . 
.o S 
o. 

. + . + 


* 



[jbarrios§cursocentos -]# 


Lo anterior generará los archivos los archivos ~/.ssh/id_dsa y ~/.ssh/id_dsa.pub 


Cambie de modo descendente los permisos de ~/.ssh a sólo lectura y escritura para el usuario. 


chmod -R go-rwX ~/.ssh 


Si utiliza openSUSE™ o SUSE™ Linux Enterprise omita el siguiente paso. Si utiliza CentOS o Red Hat™ 
Enterprise Linux ejecute lo siguiente para garantizar los contextos del contenido del directorio ~/.ssh/ al tipo 
ssh home_t: 


chcon -R -t ssh_home_t ~/.ssh/ 


619 









Joel Barrios Duenas 


Configuración de Servidores con GNU/Linux 


Ejecute lo siguiente para copiar automáticamente la firma digital pública dentro del archivo 
~/.ssh/authorized_keys en el servidor remoto. Ejemplo: 


ssh-copy-id root@192.168.70.15 


La salida debe ser similar a la siguiente: 


[jbarrios@cursocentos -]# ssh-copy-id root§192.168.70.15 

/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any 
that are already installed 

/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now 
it is to install the new keys 
Password: 

Number of key(s) added: 1 

Now try logging into the machine, with: "ssh 'root§192.168.70.10'" 
and check to make sure that only the key(s) you wanted were added. 

[jbarrios§cursocentos -]# _ 


Tendrá serias implicaciones de seguridad si el archivo id_dsa cae en manos equivocadas o se ve 
comprometido. Este archivo deberá ser considerado como altamente confidencial. 


Pueden generarse diferentes firmas digitales para cada usuario que deba ingresar a través de SSH al servidor 
remoto. El programa ssh-copy-id se encarga de aiïadir automáticamente el contenido del archivo 
~/.ssh/id_dsa.pub — de cada usuario que lo ejecute— al archivo ~/.ssh/authorized_keys de la firma pública 
correspondiente en el servidor remoto. Pueden agregarse cuantas firmas digitales en este archivo como sean 
necesarias. Si acaso se ve comprometida la seguridad de alguna firma digital, se debe eliminar ésta del archivo 
~/.ssh/authorized keys del servidor remoto. 

65.2.3. Comprobaciones. 

Siempre que haya omitido asignar contrasena para la llave DSA, deberá poderse acceder hacia el servidor 
remoto sin necesidad de autenticar con la contrasena del usuario remoto. Si fue asignada una contrasena a la 
clave DSA, se podrá acceder hacia el servidor remoto autenticando con la contrasena definida a la clave DSA y 
sin necesidad de autenticar con la contrasena del usuario remoto. 
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66. Configuración y uso de NTP. 

Autor: Joel Barrios Duehas 

Correo electrónico: darkshram en gmail punto com 

Sitio de Red: http://www.alcancelibre.org/ 


Creative Commons Reconocimiento-NoComercial-Compartirlgual 2.1 


© 1999-2016 Joel Barrios Duenas. Usted es libre de copiar, distribuir y comunicar públicamente la obra y hacer obras derivadas bajo las condiciones siguientes: a) 
Debe reconocer y citar al autor original. b) No puede utilizar esta obra para fines comerciales. c) Si altera o transforma esta obra o genera una obra derivada, sólo 
puede distribuir la obra generada bajo una licencia idéntica a ésta. Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. 
Alguna de estas condiciones puede no aplicarse si se obtiene el permiso del titular de los derechos de autor. Los derechos derivados de usos legítimos u otras 
limitaciones no se ven afectados por lo anterior. La información contenida en este documento y los derivados de éste se proporcionan tal cual son y los autores no 
asumirán responsabilidad alguna si el usuario o lector hace mal uso de éstos. 


66.1. Introducción. 

66.1.1. Acerca de NTP. 

NTP (Network Time Protocol) es un protocolo —de entre los más antiguos protocolos de Internet (1985)— 
utilizado para la sincronización de relojes de sistemas computacionales a través de redes, haciendo uso de 
intercambio de paquetes (unidades de información transportadas entre nodos a través de enlaces de datos 
compartidos) y latencia variable (tiempo de demora entre el momento en que algo inicia y el momento en que 
su efecto inicia). NTP fue originalmente disenado —y sigue siendo mantenido— por Dave Mills, de la 
universidad de Delavvare. 

NTP utiliza el algoritmo de Marzullo (inventado por Keith Marzullo), el cual sirve para seleccionar fuentes de 
origen para la estimación exacta del tiempo a partir de un número determinado de fuentes de origen 
desordenadas, utilizando la escala UTC. 

La versión 4 del protocolo puede mantener el tiempo con un margen de 10 milisegundos a través de la red 
mundial, alcanzado exactitud de 200 microsegundos. En redes locales, bajo condiciones idóneas, este margen 
se puede reducir considerablemente. 

El protocolo trabaja a través del puerto 123, únicamente a través de UDP. 

URL: http://www.ietf.org/rfc/rfcl305.txt 

66.1.1.1. Estratos. 

NTP utiliza el sistema jerárquico de estratos de reloj. 

Estrato 0: son dispositivos, como relojes GPS o radio relojes, que carecen de conectividad hacia redes. Sólo 
están conectados a computadoras que son las encargadas de distribuir los datos. 

Estrato 1: Los sistemas se sincronizan con dispositivos del estrato 0. Los sistemas de este estrato son 
referidos como servidores de tiempo. 

Estrato 2: Los sistemas envían sus peticiones NTP hacia servidores del estrato 1, utilizando el algoritmo de 
Marzullo para recabar las mejores muestra de datos, descartando que parezcan proveer datos erróneos y 
compartiendo datos con sistemas del mismo estrato 2. Los sistemas de este estrato actúan como servidores 
para el estrato 3. 

Estrato 3: Los sistemas utilizan funciones similares a las del estrato 2, sirviendo como servidores para el 
estrato 4. 
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Estrato 4: Los sistemas utilizan funciones similares a las del estrato 3. 

Lista de servidores públicos, de estrato 1 y 2, en http://kopernix.com/?q=ntp y 

http://www.eecis.udel.edu/~mills/ntp/servers.html 

66.1.2. Acerca de UTC. 

UTC (Coordinated UniversaI Time o Tiempo Universal Coordinado) es un estándar de alta precisión de tiempo 
atómico. Tiene segundos uniformes definidos por TAI (Tiempo Atómico Internacional o International Atomic 
Time ), con segundos intercalares o adicionales que se anuncian a intervalos irregulares para compensar la 
desaceleración de la rotación del planeta Tierra, así como otras discrepancias. Estos segundos adicionales 
permiten a UTC estar casi a la par del Tiempo Universal (UT o Universal Time), el cual es otro estándar pero 
basado sobre el ángulo de rotación de la Tierra, en lugar de el paso uniforme de los segundos. 

URL: http://es.wikipedia.org/wiki/UTC 

66.2. Equipamiento lógico necesario. 

66.2.1. En CentOS, Fedora™ y Red Hat™ Enterprise Linux. 

Ejecute lo siguiente para instalar o actualizar todo necesario: 


yum -y install ntp ntpdate 


66.2.2. En openSUSE™ y SUSE™ Linux Enterprise. 

Ejecute lo siguiente para instalar o actualizar todo necesario: 


yast -i ntp 


66.3. Modificaciones necesarias en el muro cortafuegos. 

Es necesario abrir el acceso hacia el puerto 123 sólo por UDP (NTP). 

66.3.1. En CentOS, Fedora™ y Red Hat™ Enterprise Linux. 

66.3.1.1. System-config-firewall. 

Ejecute lo siguiente si utiliza el muro cortafuegos predeterminado del sistema: 
system-config-firewall 

Y habilite el acceso al puerto 123 por UDP y aplique los cambios. 
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Herramienta system-config-firewall habilitando el puerto 123 por UDP. 

66.3.1.2. Servicio iptables. 

Ejecute lo siguiente: 

iptables -A INPUT -m state --state NEW -m udp -p udp --dport 123 -j ACCEPT 

Ejecute lo siguiente para guardar los cambios: 
service iptables save 

O bien edite el archivo /etc/sysconfig/iptables: 

vim /etc/sysconfig/iptables 
Y anada el siguiente contenido: 

-A INPUT -m state --state NEW -m udp -p udp --dport 123 -j ACCEPT 

Ejecute lo siguiente para aplicar los cambios: 
service iptables restart 

66.3.1.3. Shorevvall. 

Edite el archivo /etc/shorewall/rules: 

vim /etc/shorewall/rules 
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Las reglas correspondería a algo similar a lo siguiente, asumiendo que sólo se va a permitir a la red de área 
local acceder al servidor NTP para permitir a éstos sincronizar la hora del sistema: 

#ACTION SOURCE DEST PROTO DEST SOURCE 

# PORT PORT(S)1 

ACCEPT loc fW udp 123 

Si se va a permitir a la red de área local acceder hacia servidores de tiempo localizados en Internet, en lugar de 
utilizar un servidor en la misma red de área local, es necesario utilizar las siguientes reglas: 

#ACTION SOURCE DEST PROTO DEST SOURCE 

# PORT PORT(S)1 

ACCEPT loc net udp 123 

Ejecute lo siguiente para aplicar los cambios: 

service shorewall restart 

66.3.2. En openSUSE™ y SUSE™ Linux Enterprise. 

Ejecute yast con firewall como argumento: 

yast firewall 

Y habilite xntp Server o Servidor xntp, según sea el caso o bien abra el puerto 123 por UDP y aplique los 
cambios. 



(lielpl 


(Canrrll 


Módulo de cortafuegos de YaST, en modo texto, habilitando xntp Server. 
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-Alloird Services 
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— firoadcast 
— IPîtec Support 
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ftllourd Servicrs for Selected Zone 
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Service to ftl loy _ 

DHCPvi 

Olloyed Servlce Description ^ 

cups Opens pnrts f arjnìvì fîT^c 

scrver upetre ports f op t» ft 

Nrthios Servrr Opens ports 

NF3 Server Servícc Opens pOrts for NFS to «1 


Sanha Client 
Snnba îvervrr 


Fnahles hfu 
Opens part;. 


ServerlOpen uortt for Secare Shrll 


( 1 Protect Fircyall frtm Internnl Zane 


O bien haga clic en YaST - Seguridad y usuarios -> Servicios autorizados y active Servidor xntp y aplique los 
cambios. 
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Módulo de cortafuegos de YaST, en modo gráfico, habilitando servidor xntp. 


66.4. Activar, iniciar, detener y reiniciar el servicio. 

66.4.1. En CentOS, Fedora™ y Red Hat™ Enterprise Linux. 

Ejecute lo siguiente para activar el servicio en todos los niveles de ejecución: 

chkconfig ntpd on 

Ejecute lo siguiente para iniciar el servicio por primera vez: 

service ntpd start 

Ejecute lo siguiente para reiniciar el servicio y aplicar cambios a la configuración: 

service ntpd restart 

Ejecute lo siguiente para detener el servicio: 

service ntpd stop 

66.4.2. En openSUSE™ y SUSE™ Linux Enterprise. 

Ejecute lo siguiente para activar el servicio en todos los niveles de ejecución: 

insserv ntp 

Ejecute lo siguiente para iniciar el servicio por primera vez: 
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rcntp start 

Ejecute lo siguiente para reiniciar el servicio y aplicar cambios a la configuración: 
rcntp restart 

Ejecute lo siguiente para detener el servicio: 
rcntp stop 

66.5. Procedimientos. 

66.5.1. Herramienta ntpdate 

Una forma muy sencilla de sincronizar el reloj del sistema con cualquier servidor de tiempo es a través de 
ntpdate. Se trata de una herramienta similar a rdate y se utiliza para establecer la fecha y hora del sistema 
utilizando NTP. El siguiente ejemplo realiza una consulta directa NTP, ejecutando ntpdate con la opción -u, 
para definir se utilice un puerto sin privilegios, hacia el servidor 0. pool.ntp.org. 

ntpdate -u 0.pool.ntp.org 

La opción -u se utiliza cuando hay un cortafuegos que impide la salida desde el puerto 123/UDP o bien si el 
servicio ntp está funcionando y utilizando el puerto 123/UDP. 

El manual completo de ntpdate puede consultarse ejecutando lo siguiente: 

man 8 ntpdate 

66.5.2. Archivo de configuración /etc/ntp.conf. 

El manual completo para el formato del archivo /etc/ntp.conf puede consultarse ejecutando lo siguiente: 
man 5 ntp.conf 


66.5.2.1. En CentOS, Fedora™ y Red Hat™ Enterprise Linux. 

Los sistemas operativos como CentOS, Fedora™ y Red Hat™ Enterprise Linux, se incluye un archivo de 
configuración /etc/ntp.conf, con una configuración para uso general que permite trabajar como cliente NTP. Se 
recomienda respaldar éste para futuras consultas y utilizar un nuevo archivo en su lugar: 


mv /etc/ntp.conf /etc/ntp.conf.original 


Genere el nuevo archivo /etc/ntp.conf que permitirá funcionar como servidor NTP en la red de área local: 


vim /etc/ntp.conf 


Afíada el siguiente contenido y modifique lo que considere pertinente, como serían los valores resaltados: 
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# Se establece la politica predeterminada para cualquier 

# servidor de tiempo utilizado: se permite la sincronización 

# de tiempo con las fuentes, pero sin permitir a la fuente 

# consultar (noquery), ni modificar el servicio en el 

# sistema (nomodify) y declinando proveer mensajes de 

# registro (notrap). 

restrict default nomodify notrap noquery 
restrict -6 default nomodify notrap noquery 

# Permitir todo el acceso a la interfaz de retorno del 

# sistema. 
restrict 127.0.0.1 
restrict -6 : : 1 

# Se le permite a las redes local sincronizar con el servidor 

# pero sin permitirles modificar la configuración del 

# sistema y sin usar a éstos como iguales para sincronizar. 

# Cambiar por las que correspondan a sus propias redes locales. 
restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap 
restrict 192.168.70.0 mask 255.255.255.128 nomodify notrap 
restrict 172.16.1.0 mask 255.255.255.240 nomodify notrap 
restrict 10.0.1.0 mask 255.255.255.248 nomodify notrap 

# Reloj local indisciplinado. 

# Este es un controlador emulado que se utiliza sólo como 

# respaldo cuando ninguna de las fuentes reales están 

# disponibles. 

fudge 127.127.1.0 stratum 10 
server 127.127.1.0 

# Archivo de variaciones. 
driftfile /var/lib/ntp/drift 
broadcastdelay 0.008 

# Archivo de claves si acaso fuesen necesarias para realizar 

# consultas 

keys /etc/ntp/keys 

# Lista de servidores de tiempo de estrato 1 o 2. 

# Se recomienda tener al menos 3 servidores listados. 

# Mas servidores en: 

# http://kopernix.com/?q=ntp 

# http://www.eecis.udel.edu/~mills/ntp/servers.html 
server 0.pool.ntp.org iburst 

server 1. pool.ntp.org iburst 
server 2.pool.ntp.org iburst 
server 3. pool.ntp.org iburst 

# Permisos que se asignarán para cada servidor de tiempo. 

# En los ejemplos, se impide a las fuente consultar o modificar 

# el servicio en el sistema, así como también enviar mensaje de 

# registro. 

restrict 0.pool.ntp.org mask 255.255.255.255 nomodify notrap noquery 

restrict 1. pool.ntp.org mask 255.255.255.255 nomodify notrap noquery 

restrict 2.pool.ntp.org mask 255.255.255.255 nomodify notrap noquery 

restrict 3. pool.ntp.org mask 255.255.255.255 nomodify notrap noquery 

# Se activa la difusión hacia los clientes 
broadcastclient 


Para aplicar los cambios, ejecute lo siguiente: 

service ntpd restart 

Para sincronizar la hora de inmediato en este servidor recién configurado, ejecute: 

ntpdate -u 0.pool.ntp.org 
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66.5.2.2. En openSUSE™ y SUSE™ Linux Enterprise. 

Evite modificar directamente el archivo /etc/ntpd.conf, pues el método preferido de configuración es a través 
del módulo correspondiente de YaST. En su lugar utilice el módulo Cliente NTP de YaST, ejecutando lo 
siguiente: 


yast ntp-client 


Conserve el reloj local indisciplinado, defina los servidores NTP a utilizar y aplique los cambios. 


Configuración NTP avanzada 

yiiorts gtnoralM dt condgut»c*6n va|otts <M conlguracion 0« togundao 

ltiKiar dicmon MTP 

O ^à'ro manuafmentc 
• y jfuunîe el jnar*que 

Ouectrrí <3* contgutactòfl «n *i«mpo de «ftcuciòn 
Auto C 


Tipo d« smcioncaciòn 

ûuecciòn 

Umitc*>»ned Loc«l Clocfc aOCAL» 

Scnndoi 

0 pool ntp org 

S«mdO( 

1 pooi ntp org 

Scnador 

2 pool ntp org 

S«n*dOi 

3 pooi ntp org 




^ Sufinmii 


yostrai i«çrstio 


Ç'A^uda ^ÇLànc-'»' <$?Ac±pt* 


Módulo de Cliente NTP de YaST, en modo gráfico, configurando como servidor NTP. 
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Módulo de Cliente NTP de YaST, en modo texto, configurando como servidor NTP. 


Para sincronizar la hora de inmediato en este servidor recién configurado, ejecute: 


ntpdate -u 0.pool.ntp.org 


66.5.3. Configuración de clientes. 

Asumiendo que los clientes GNU/Linux ya tiene instalados los paquetes de NTP y que el servidor tiene una 
dirección IP 172.16.1.1, verifique primero que hay conectividad hacia el nuevo servidor que acaba de configurar 
ejecutando como root lo siguiente: 

ntpdate -u 172.16.1.1 


Lo anterior debe devolver una salida similar a la siguiente: 

18 Sep 13:30:15 ntpdate[4913]: adjust time server 172.16.1.1 offset -0.000812 sec 
Si lo anterior falla, verifique la configuración en el servidor y su muro cortafuegos. 

66.5.3.1. Asignación automática a través de servidor DHCP. 

La forma más simple y práctica de replicar automáticamente la asignación de servidores NTP en la red de área 
local, es a través de un servidor DHCP. 

Edite el archivo /etc/dhcp/dhcpd.conf o /etc/dhcpd.conf, de acuerdo a la versión de sistema operativo 
utilizado: 


vim /etc/dhcp/dhcpd.conf 
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Utilice la opción ntp-servers para definir una lista separada por comas de todos los servidores NTP que se 
quiera utilizar en la red de área local: 


ddns-update-style interim; 
ignore client-updates; 
authoritative; 
default-lease-time 900; 
max-lease-time 7200; 
option ip-forwarding off; 
option domain-name "red-local.net"; 
option ntp-servers 172.16.1.1 

shared-network redlocal { 

subnet 172.16.1.0 netmask 255.255.255.192 { 
option routers 172.16.1.1; 
option subnet-mask 255.255.255.192; 
option broadcast-address 172.16.1.63; 
option domain-name-servers 172.16.1.1; 
option netbios-name-servers 172.16.1.1; 
range 172.16.1.2 172.16.1.58; 

} 

} 


Reinicie el servicio dhcpd a fin de que surtan efecto los cambios. 

service dhcpd restart 

Para más detalles acerca de la configuración de servidor DHCP, por favor consulte el documento titulado 
«Configuración de servidor DHCP.» 

66.5.3.2. Configuración manual en CentOS, Fedora™ y Red Hat™ Enterprise Linux. 

Edite el archivo /etc/ntpd.conf: 

vim /etc/ntp.conf 


Afiada o modifique el siguiente contenido: 


driftfile /var/lib/ntp/drift 

restrict default kod nomodify notrap nopeer noquery 

restrict -6 default kod nomodify notrap nopeer noquery 

restrict 127.0.0.1 

restrict -6 ::1 

server 172.16.1.1 iburst 

includefile /etc/ntp/crypto/pw 

keys /etc/ntp/keys 


Y reinicie el servicio ntp a fin de que surtan efecto los cambios: 

service ntpd restart 


66.5.3.3. Configuración manual en openSUSE™ y SUSE™ Linux Enterprise. 

Evite modificar archivo /etc/ntpd.conf , pues el método preferido de configuración es a través de YaST. 

vim /etc/ntp.conf 

Utilice el módulo Cliente NTP de YaST, ejecutando lo siguiente: 
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yast ntp-client 

Elimine el reloj local indisciplinado, defina el servidor NTP a utilizar y aplique los cambios. 
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Módulo de Cliente NTP de YaST, en modo gráfico. 
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Módulo de Cliente NTP de YaST, en modo texto. 
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67.1. Introducción. 

NFS (Network File System), es un popular protocolo utilizado para compartir sistemas de archivos de manera 
transparente entre anfitriones dentro de una red de área local. Es utilizado para sistemas de archivos 
distribuido. 

Fue desarrollado en 1984 por Sun Microsystems, teniendo en mente la independencia del anfitrión, sistema 
operativo, protocolo de transporte. Funciona a través de los protocolos XDR (nivel de presentación del modelo 
OSI de TCP/IP) y ONC RPC (nivel de sesión del modelo OSI de TCP/IP). 

Es muy popular entre sistemas basados sobre el estándar POSIX y viene incluido en la mayoría de éstos de 
modo predeterminado. Es muy fácil de configurar y utilizar, sin embargo debe tomarse en cuenta que su 
seguridad se basa sobre listas de de control de acceso compuestas por direcciones IP o nombres de anfitrión. 
Es por ésto que es importante que el administrador de la red de área local comprenda que un servidor NFS 
puede ser un serio problema de seguridad, si éste es configurado incorrectamente. 

Existen tres versiones de NFS que se utilizan hoy en día: 

• NFSv2: Es la versión más antigua y mejor soportada. 

• NFSv3: Tiene más características que NFSv2, como el manejo de archivos de tarnaho variable y 
mejores informes de errores. Sólo es parcialmente compatible con los clientes para NFSv2. 

• NFSv4: Es la versión más moderna, y, entre otras cosas, incluye soporte para seguridad a través 
de Kerberos, soporte paraACLy utiliza operaciones con descripción del estado. 

Salvo que se trate de directorios de acceso público, se recomienda utilizar NFS sólo dentro de una red de área 
local detrás de un muro contrafuegos y que sólo se permita el acceso a los anfitriones que integren la red de 
área local y evitar compartir sistemas de archivos con información sensible a través de Internet. 

67.2. Equipamiento lógico necesario. 

67.2.1. En CentOS, Fedora™ y Red Hat™ Enterprise Linux. 

El paquete nfs-utils viene incluido junto con la instalación estándar de estos sistemas operativos y contiene 
tanto las herramientas de cliente como las de servidor. De ser necesario, como por ejemplo en el caso de una 
instalación mínima, ejecute lo siguiente para instalar todo lo necesario: 


yum -y install nfs-utils 


Si prefiere una herramienta gráfica para configurar el servidor NFS, puede instalar también el paquete system- 
config-nfs: 
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yum -y install system-config-nfs 


67.2.2. Instalación en openSUSE™ y SUSE™ Linux Enterprise. 

En estos sistemas operativos, existen dos paquetes a instalar: nfs-client, que corresponde a las herramientas 
para clientes NFS y nfs-kernel-server, que corresponde a las herramientas de servidor NFS. Ambos paquetes 
están incluidos en la instalación estándar de openSUSE™ y SUSE™ Linux Enterprise. En caso de haber hecho 
una instalación mínima, ejecute lo siguiente para instalarlos: 


yast -i nfs-client nfs-kernel-server 


Si prefiere una herramienta que funciona tanto desde la terminal como desde el escritorio para configurar el 
sistema como cliente NFS, puede instalar también el paquete yast2-nfs-client. 


yast -i yast2-nfs-client 


Si prefiere una herramienta que funciona tanto desde la terminal como desde el escritorio para configurar el 
sistema como servidor NFS, puede instalar también el paquete yast2-nfs-server. 


yast -i yast2-nfs-server 


67.3. Definir los puertos utilizados por NFS. 

El siguiente paso puede ser omitido en openSUSE™ y SUSE™ Linux Enterprise, gracias a que SuSEFirewall2 
detecta automáticamente los puertos aleatorios utilizados por el servicio nfsserver. 

En CentOS, Fedora™ y Red Hat™ Enterprise Linux es importante definir los puertos fijos que utilizará NFS, 
pues el cortafuegos es incapaz de abrir dinámicamente los puertos aleatorios que de modo predeterminado 
utiliza éste. 


Edite el archivo /etc/sysconfig/nfs: 

vi /etc/sysconfig/nfs 

Habilite o bien modifique, las siguientes variables, estableciendo los valores mostrados a continuación: 


RQU0TAD_P0RT=875 

LOCKD„TCPPORT=32803 

L0CKD_UDPP0RT=32769 

M0UNTD_P0RT=892 

STATD_P0RT=662 


También puede establecer los puertos desde la ventana «Configuración de servidor» de la herramienta system- 
config-nfs. 
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Para operar con ciertas configuraciones de 
cortafuegos el demonio de proceso NFS necesita 
usar puertos de red específicos. Deje este campo 
vacío si usted no necesita forzar puertos específicos. 


rpc.lockd (TCP): 

rpc.mountd: 

32803 

rpc.lockd (UDP): 32769 



892 

rpc.statd: 662 

rpc.rquotad: 

875 


Cancelar Aceptar 


Configuración del Servidor en system-config-nfs. 


Si el servidor NFS va a trabajar sin muro cortafuegos en una red de área local, este paso es innecesario. 

67.4. Iniciar servicio y anadir el servicio al inicio del sistema. 

67.4.1. En CentOS, Fedora™ y Red Hat™ Enterprise Linux. 

Si se realizó una instalación estándar, los servicios requeridos por nfs, es decir rpcbind y nfslock, estarán 
activos y funcionando. Sólo en el caso de haber realizado una instalación mínima, es necesario iniciar primero 
estos dos servicios, ejecutando lo siguiente: 


service rpcbind start 
service nfslock start 


De modo predeterminado los servicios rpcbind y nfslock estarán activos en los niveles de ejecución 3, 4 y 5. 

De modo predeterminado el servicio nfs estará inactivo. Para activar este servicio en los niveles de ejecución 3 
y 5, es decir los niveles recomendados, ejecute lo siguiente: 


chkconfig --level 35 nfs on 


El método estándar para detener, iniciar o reiniciar el servicio nfs es través de ejecutar service con el nombre 
del servicio (nfs) y reload, restart, start o stop como argumentos. 

Para iniciar el servicio por primera vez, sólo necesita ejecutar: 


service nfs start 


Para volver a leer la configuración del servicio y aplicar los cambios, sin interrumpir las conexiones existentes, 
sólo se necesita ejecutar: 

service nfs reload 

Para reiniciar el servicio sólo se necesita ejecutar: 
service nfs restart 

Para detener el servicio, sólo necesita ejecutar: 
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service nfs stop 

Para verificar el estado del servicio, sólo necesita ejecutar: 
service nfs status 

67.4.2. En openSUSE™ y SUSE™ Linux Enterprise. 

El método estándar para agregar el servicio al inicio del sistema es a través de ejecutar insserv. Para activar el 
servicio en los niveles de ejecución 3 y 5, ejecute lo siguiente: 

insserv nfsserver 

El método estándar para detener, iniciar o reiniciar el servicio es través de ejecutar rcnfsserver. 

Para iniciar el servicio por primera vez, sólo necesita ejecutar: 
rcnfsserver start 

Para volver a leer la configuración del servicio y aplicar los cambios, sin interrumpir las conexiones existentes, 
sólo se necesita ejecutar: 

rcnfsserver reload 

Para reiniciar el servicio sólo se necesita ejecutar: 
rcnfsserver restart 

Para detener el servicio, sólo necesita ejecutar: 
rcnfsserver stop 

Para verificar el estado del servicio, sólo necesita ejecutar: 
rcnfsserver status 

67.5. Modificaciones necesarias en los archivos /etc/hosts.allow y 
/etc/hosts.deny. 

Conviene establecer un poco de seguridad extra a través de tcp_wrapper (tcpd), sobre todo si el servidor NFS 
sólo va a operar en una red de área local sin muro cortafuegos. 

Edite el archivo /etc/hosts.deny: 

vi /etc/hosts.deny 
Anada el siguiente contenido: 
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portmap: ALL 
lockd: ALL 
mountd: ALL 
rquotad: ALL 
statd: ALL 


Edite el archivo /etc/hosts.allow: 


vi /etc/hosts.allow 


Asumiendo que se va a permitir el acceso a las redes 192.168.70.0/25, 172.16.1.0/28 y 10.0.1.0/29, anada el 
siguiente contenido: 


portmap: 192.168.70.0/25, 172.16.1.0/28, 10.0.1.0/29 
lockd: 192.168.70.0/25, 172.16.1.0/28, 10.0.1.0/29 
mountd: 192.168.70.0/25, 172.16.1.0/28, 10.0.1.0/29 
rquotad: 192.168.70.0/25, 172.16.1.0/28, 10.0.1.0/29 
Statd: 192.168.70.0/25, 172.16.1.0/28, 10.0.1.0/29 


Los cambios aplican de manera inmediata, sin reiniciar servicio alguno. 


67.6. Modificaciones necesarias en el muro cortafuegos. 


Verifique ejecutando rpcinfo con la opción -p los puertos y protocolos utilizados por los servicios portmapper, 
nfs, lockd, mountd, rquotad y statd. 


rpcinfo -p 


La salida debe ser similar a la siguiente. 
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program 

vers 

proto 

port 

service 

100000 

4 

tcp 

111 

portmapper 

100000 

3 

tcp 

111 

portmapper 

100000 

2 

tcp 

111 

portmapper 

100000 

4 

udp 

111 

portmapper 

100000 

3 

udp 

111 

portmapper 

100000 

2 

udp 

111 

portmapper 

100011 

1 

udp 

875 

rquotad 

100011 

2 

udp 

875 

rquotad 

100011 

1 

tcp 

875 

rquotad 

100011 

2 

tcp 

875 

rquotad 

100003 

2 

tcp 

2049 

nfs 

100003 

3 

tcp 

2049 

nfs 

100003 

4 

tcp 

2049 

nfs 

100227 

2 

tcp 

2049 

nfs_acl 

100227 

3 

tcp 

2049 

nfs_acl 

100003 

2 

udp 

2049 

nfs 

100003 

3 

udp 

2049 

nfs 

100003 

4 

udp 

2049 

nfs 

100227 

2 

udp 

2049 

nfs_acl 

100227 

3 

udp 

2049 

nfs_acl 

100021 

1 

udp 

32769 

nlockmgr 

100021 

3 

udp 

32769 

nlockmgr 

100021 

4 

udp 

32769 

nlockmgr 

100021 

1 

tcp 

32803 

nlockmgr 

100021 

3 

tcp 

32803 

nlockmgr 

100021 

4 

tcp 

32803 

nlockmgr 

100005 

1 

udp 

892 

mountd 

100005 

1 

tcp 

892 

mountd 

100005 

2 

udp 

892 

mountd 

100005 

2 

tcp 

892 

mountd 

100005 

3 

udp 

892 

mountd 

100005 

3 

tcp 

892 

mountd 


Para servidores de NFSv4, en realidad sólo es necesario abrir en el muro cortafuegos el puerto 2049/TCP 
(nfs), pues es esta versión dejó de depender del servicio de mapa de puertos (portmap). Sin embargo, para 
poder trabajar con compatibilidad para NFSv2 y NFSv3, es necesario abrir los puertos 111/UDP, 111/TCP, 
662/TCP, 662/UDP, 875/TCP, 875/UDP, 892/TCP, 892/UDP, 2049/TCP, 2049/UDP, 32803/TCP y 32769/UDP. 
Los puertos que se abran para los servicios lockd, mountd, rquotad y statd deben corresponder con los 
mismo puertos definidos el archivo /etc/sysconfig/nfs. 

67.6.1. En CentOS, Fedora™ y Red Hat™ Enterprise Linux. 

67.6.1.1. Herramienta system-config-firewall. 


Ejecute lo siguiente si utiliza el muro cortafuegos predeterminado del sistema: 


system-config-firewall 


Habilite los puertos 111/UDP, 111/TCP, 662/TCP, 662/UDP, 875/TCP, 875/UDP, 892/TCP, 892/UDP, 
2029/TCP, 2049/UDP, 32803/TCP y 32769/UDP y aplique los cambios. 
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System-config-firewall habilitando puertos para NFS. 


67.6.1.2. Servicio iptables. 

Si lo prefiere, también puede ejecutar lo siguiente: 


iptables 

-A 

INPUT 

-m 

state 

--state 

NEW 

-m 

tcp 

-P 

tcp 

- -dport 

2049 

- 

j ACCEPT 

iptables 

-A 

INPUT 

-m 

state 

--state 

NEW 

-m 

udp 

-P 

udp 

- -dport 

2049 

- 

j ACCEPT 

iptables 

-A 

INPUT 

-m 

state 

--state 

NEW 

-m 

tcp 

-P 

tcp 

- -dport 

111 - 

3 

ACCEPT 

iptables 

-A 

INPUT 

-m 

state 

--state 

NEW 

-m 

udp 

-P 

udp 

- -dport 

111 - 

3 

ACCEPT 

iptables 

-A 

INPUT 

-m 

state 

--state 

NEW 

-m 

tcp 

-P 

tcp 

- -dport 

662 - 

3 

ACCEPT 

iptables 

-A 

INPUT 

-m 

state 

--state 

NEW 

-m 

udp 

-P 

udp 

- -dport 

662 - 

3 

ACCEPT 

iptables 

-A 

INPUT 

-m 

state 

--state 

NEW 

-m 

tcp 

-P 

tcp 

- -dport 

875 - 

3 

ACCEPT 

iptables 

-A 

INPUT 

-m 

state 

--state 

NEW 

-m 

udp 

-P 

udp 

- -dport 

875 - 

3 

ACCEPT 

iptables 

-A 

INPUT 

-m 

state 

--state 

NEW 

-m 

tcp 

-P 

tcp 

- -dport 

892 - 

3 

ACCEPT 

iptables 

-A 

INPUT 

-m 

state 

--state 

NEW 

-m 

udp 

-P 

udp 

- -dport 

892 - 

3 

ACCEPT 

iptables 

-A 

INPUT 

-m 

state 

--state 

NEW 

-m 

tcp 

-P 

tcp 

- -dport 

32803 

-j ACCEPT 

iptables 

-A 

INPUT 

-m 

state 

--state 

NEW 

-m 

udp 

-P 

udp 

- -dport 

32769 

-j ACCEPT 


service iptables save 


O bien ahada lo siguiente al archivo /etc/sysconfig/iptables: 


-A 

INPUT 

-m 

state 

--state 

NEW 

-m 

tcp 

-P 

tcp 

- -dport 

2049 

- 

j ACCEPT 

-A 

INPUT 

-m 

state 

--state 

NEW 

-m 

udp 

-P 

udp 

- -dport 

2049 

- 

j ACCEPT 

-A 

INPUT 

-m 

state 

--state 

NEW 

-m 

tcp 

-P 

tcp 

- -dport 

111 - 

3 

ACCEPT 

-A 

INPUT 

-m 

state 

--state 

NEW 

-m 

udp 

-P 

udp 

- -dport 

111 - 

3 

ACCEPT 

-A 

INPUT 

-m 

state 

--state 

NEW 

-m 

tcp 

-P 

tcp 

- -dport 

662 - 

3 

ACCEPT 

-A 

INPUT 

-m 

state 

--state 

NEW 

-m 

udp 

-P 

udp 

- -dport 

662 - 

3 

ACCEPT 

-A 

INPUT 

-m 

state 

--state 

NEW 

-m 

tcp 

-P 

tcp 

- -dport 

875 - 

3 

ACCEPT 

-A 

INPUT 

-m 

state 

--state 

NEW 

-m 

udp 

-P 

udp 

- -dport 

875 - 

3 

ACCEPT 

-A 

INPUT 

-m 

state 

--state 

NEW 

-m 

tcp 

-P 

tcp 

- -dport 

892 - 

3 

ACCEPT 

-A 

INPUT 

-m 

state 

--state 

NEW 

-m 

udp 

-P 

udp 

- -dport 

892 - 

3 

ACCEPT 

-A 

INPUT 

-m 

state 

--state 

NEW 

-m 

tcp 

-P 

tcp 

- -dport 

32803 

-j ACCEPT 

-A 

INPUT 

-m 

state 

--state 

NEW 

-m 

udp 

-P 

udp 

- -dport 

32769 

-j ACCEPT 


Y reinicie el servicio iptables: 


service iptables restart 
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67.6.1.3. Shorewall. 


Las reglas para el archivo /etc/shorewall/rules de Shorewall corresponderían a lo siguiente: 


#ACTION 

# 

ACCEPT 

SOURCE 

DEST 

PROTO 

all 

fw 

tcp 

ACCEPT 

all 

fw 

udp 

#LAST LINE -- 

ADD YOUR 

ENTRIES 


DEST SOURCE 

PORT PORT(S)1 

111,662,875,892,2049, 32803 
111,662,875,892,2049,32769 
3EF0RE THIS ONE -- DO NOT REMOVE 


Para aplicar los cambios en Shorewall, ejecute lo siguiente: 
service shorewall restart 

67.6.2. En openSUSE™ y SUSE™ Linux Enterprise. 

Ejecute yast con firewall como argumento: 
yast firewall 


Y habilite NFS Server Service o Servicio de Servidor NFS y aplique los cambios. Ésto habilitará todos los 
puertos necesarios. 



Módulo de cortafuegos de YaST, en modo gráfico, habilitando el Servicio de Servidor NFS. 
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Módulo de cortafuegos de YaST, en modo texto, habilitando NFS Server Service. 

67.7. Procedimientos. 

67.7.1. El archivo /etc/exports. 

Es el archivo utilizado para configurar los directorios que se compartirán a través de NFS. El formato utilizado 
es el siguiente: 


/directorio/a/compatir anfitriones(opciones) 


Se puede compartir cualquier directorio del sistema y sus respectivos subdirectorios, excepto por aquellos 
subdirectorios que estén en otros sistemas de archivos. 

Los anfitriones se pueden definir por dominios, nombres de anfitrión, direcciones IP o segmentos de bloques de 
direcciones IP. 

Las opciones utilizadas pueden ser las siguientes: 

• ro y rw: Sólo lectura o lectura y escritura, respectivamente. Valor predeterminado es rw. 

• link_relative y link_absolute: convertir los enlaces simbólicos absolutos en enlaces simbólicos 
relativos o bien dejar los enlaces simbólicos como están, respectivamente. Valor predeterminado 
es link_absolute. 

• no_root_squash y root_squash: respeta el uid/gid 0 (root) o bien traslada uid/gid 0 hacia uid/gid 
del usuario anónimo de NFS. Valor predeterminado es root_squash. 

• squash_uids y squash_gids: especifica una lista de uids o gids que se trasladarán al usuario 
anónimo utilizado por NFS. Ejemplo: squash_uids=0-15,20,25-50. 

• all_squash: traslada todos los uid y gid hacia el uid y gid del usuario anónimo utilizado por NFS. 
Comúnmente utilizado para compartir directorios de acceso público, como el directorio 
/var/ftp/pub. 


640 






Joel Barrios Duenas 


Configuración de Servidores con GNU/Linux 


• anonuid y anongid: establecen en forma explícita el uid y gid del usuario anónimo utilizado por 
NFS. Ejemplo: anonuid=150,anongid=100. 

El manual que detalla el formato y opciones del archivo /etc/exports puede consultarse ejecutando lo siguiente: 
man 5 exports 

NFS Ejecute showmount para ver la lista de clientes conectados al servidor: 

shoin/mount 

Ejecute showmount con la opción -a para ver la lista de clientes conectados al servidor NFS y los directorios 
utilizados por cada uno: 

showmount -a 

El manual que detalla las opciones de showmount puede consultarse ejecutando lo siguiente: 
man 8 showmount 

67.7.1.1. Ejemplos de configuración del archivo /etc/exports. 

En el siguiente ejemplo, se comparte el directorio local /home en modo lectura y escritura (rw) a todos los 
anfitriones de 172.16.1.0/28, respetando el uid y gid de root (no_root_squash): 

/home 172.16.1.0/28(rw,no_root_squash) 

En el siguiente ejemplo, se comparte el directorio local /var/www en modo lectura y escritura (rw) a 

172.16.1.2, respetando el uid y gid de root (no_root„squash) y a 172.16.1.3 en modo de sólo lectura, 
trasladando todos los uid y gid al usuario anónimo utilizado por NFS (root_squash es el valor por omisión): 

/var/www 172.16.1.2(rw,no_root_squash) 172.16.1.3(ro,all_squash) 

67.7.1.2. Herramienta system-config-nfs en CentOS, Fedora™ y Red Hat™ Enterprise Linux. 

La configuración de los directorios a exportar, con sus posibles opciones, en el archivo /etc/exports, así como 
la configuración de los puertos de NFS en el archivo /etc/sysconfig/nfs, pueden hacer desde la herramienta 
gráfica system-config-nfs. 
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Archivo Ayuda 


» % 


Anadir Propiedades Ellm 

inar Configuración de Servidor 

Ayuda 

Directorio Máquinas 

Permisos 


/var/ftp/pub 10.1.144.0/24 

Lectura 


/var/ftp/pub 192.168.1.0/24 

Lectura 



Herramienta gráfica system-config-nfs. 


67.7.1.3. YaST nfs-server en openSUSE™ y SUSE™ Linux Enterprise. 

La configuración de los directorios a exportar, con sus posibles opciones, en el archivo /etc/exports, así como 
la configuración de opciones del servidor NFS, pueden hacer utilizando el módulo nfs-server de YaST. Ejecute 
lo siguiente: 

yast nfs-server 



Dtrcctories to Export 


iDlrcctorlcs llhxtru 

j*mt Trtructs 


j/'hnfic 





(fldrf DlrectortjllEctItHDcleteI 


sho*e 



16 


Módulo nfs-server de YaST. 


67.7.2. Verificación del servicio. 

Utilice rpcinfo para verificar el estado de servidores NFS y otros servidores que funcionan sobre RPC. 
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Para verificar el estado de los servicios en el anfitrión local, ejecute: 


rpcinfo 


Ejecute rpcinfo con la opción -m para ver las estadísticas de uso en el anfitrión local: 
rpcinfo -m 

Ejecute rpcinfo con la opción -p para mostrar una lista de todos los programas RPC en el anfitrión local: 
rpcinfo -p 

Ejecute rpcinfo con la opción -s para mostrar una lista más concisa de todos los programas RPC en el anfitrión 
local: 

rpcinfo -s 

Ejecute rpcinfo con la opción -T, udp, el nombre o dirección IP del anfitrión local y nfs como argumentos ara 
mostrar los transportes soportados por el anfitrión local. Ejemplo: 

rpcinfo -T udp localhost nfs 

Ejecute rpcinfo con el nombre o dirección IP de un servidor NFS remoto como argumento para verificar el 
estado de los servicios en un anfitrión remoto. Ejemplo: 


rpcinfo 192.168.1.64 


Ejecute rpcinfo con la opción -m y el nombre o dirección IP de un servidor NFS remoto como argumento para 
ver las estadísticas de uso en un anfitrión remoto. Ejemplo: 


rpcinfo -m 192.168.1.64 


Ejecute rpcinfo con la opción -p y el nombre o dirección IP de un servidor NFS remoto como argumento para 
mostrar una lista de todos los programas RPC en un anfitrión remoto. Ejemplo: 

rpcinfo -p 192.168.1.64 

Ejecute rpcinfo con la opción -s y el nombre o dirección IP de un servidor NFS remoto como argumento para 
mostrar una lista más concisa de todos los programas RPC en un anfitrión remoto. Ejemplo: 

rpcinfo -s 192.168.1.64 

Ejecute rpcinfo con la opción -T, udp, el nombre o dirección IP de un servidor NFS remoto y nfs como 
argumentos para mostrar los transportes soportados por un anfitrión remoto. Ejemplo: 


rpcinfo -T udp 192.168.1.64 nfs 


67.7.3. Montaje de sistemas de archivos NFS. 
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Para montar sistemas de archivos tipo NFS ejecute mount con la siguiente sintaxis: 
mount [-o opciones] servidor:/directorio /punto/montaje 

Para hacer permanentes los puntos de montaje, ahada la líneas de configuración correspondientes en el 
archivo /etc/fstab, utilizando el siguiente formato: 

servidor:/directorio /punto/montaje nfs4 opciones 0 0 


Las posibles opciones para ambos archivos son las siguientes: 

• rsize: Define el tamano del búfer para lectura. El valor predeterminado es 1024 bytes. Si se 
incrementa a 8192 bytes, mejora considerablemente el rendimiento del servidor NFS al hacer la 
lectura de datos desde el cliente. Ejemplo: mount -o rsize=8192 servidor:/directorio /mnt/servidor 

• wsize: Define el tamano del búfer para escrituras. El valor predeterminado es 1024 bytes. Si se 
incrementa a 8192 bytes, mejora considerablemente el rendimiento del servidor NFS al hacer la 
escritura de datos desde el cliente. Ejemplo: mount -o wsize=8192 servidor:/directorio 
/mnt/servidor 

• hard y soft: El primero hace que las aplicaciones que estén utilizando el sistema de archivos 
remoto entren en pausa cuando falle o se interrumpa la conectividad con el servidor NFS, 
pudiendo utilizarse en combinación con la opción intr para poder interrumpir las aplicaciones 
pausadas. El segundo permite, después de un tiempo que se define con la opción timeo, 
descartar las conexiones fallidas o interrumpidas hacia un servidor NFS. 

• intr: Permite interrumpir las aplicaciones y/o los procesos que hayan sido pausados tras la falla o 
interrupción de conectividad con un servidor NFS. 

• timeo: Se utiliza para establecer el límite de tiempo en décimas de segundo usado antes de la 
primera retransmisión después de que ha fallado o se ha interrumpido una conexión a un servidor 
NFS. El valor por omisión es 7 décimas de segundo, tras lo cual se duplica por cada expiración 
RPC, hasta un máximo de 60 segundos. Se recomienda aumentar el valor en redes con mucha 
congestión. 

• auto y noauto: El primero define si el sistema de archivos remoto se montará automáticamente 
junto con el inicio del sistema. El segundo impide que se monte automáticamente el sistema de 
archivos remoto. El valor predeterminado es auto. 

• user: permite a los usuarios regulares poder montar un sistema de archivos NFS. 
Automáticamente anade las opciones noexec, nosuid y nodev (prohibido ejecutar archivos de 
este sistema de archivos, prohibido utilizar SUID, prohibido el uso de dispositivos de bloque, 
respectivamente). 

El manual que detalla las opciones de montado para NFS para el archivo /etc/fstab y que también son 
utilizadas por mount, pueden consultarse ejecutando lo siguiente: 


man 5 nfs 


67.7.4. Modulo nfs de YaST en openSUSE™ y SUSE™ Linux Enterprise. 

Para configurar los sistemas de archivos remotos para ser montados en el sistema de archivos local, el método 
preferido es utilizar el módulo nfs de YaST. Ejecute lo siguiente: 

yast nfs 

Defina los servidores, directorios remotos, puntos de montaje y opciones a utilizar y aplique los cambios. 
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Módulo de nfs de YaST, en modo texto. 

67.8. Ejercicios. 

67.8.1. Compartir un volumen NFS para acceso público. 

Si acaso fuese inexistente, genere el directorio local /var/ftp/pub: 

test -d /var/ftp/pub || mkdir -p /var/ftp/pub 
Copie cualquier contenido de acceso público dentro de este directorio. 

Para compartir el directorio local /var/ftp/pub en modo de sólo lectura (ro), edite el archivo /etc/exports: 

vi /etc/exports 

Asumiendo que se trata del directorio público de el servidor FTP del sistema, que éste se compartirá en modo 
de sólo lectura (opción ro) convirtiendo todos los UID y GID de los clientes al usuario anónimo de NFS (opción 
all_squash), a toda la red de área local y que ésta corresponde a 192.168.70.0/25, afiada el siguiente 
contenido: 

/var/ftp/pub 192.168.70.0/25(ro,all_squash) 

Si utiliza CentOS, Fedora™ o Red Hat™ Enterprise Linux, ejecute lo siguiente para aplicar los cambios: 
service nfs restart 

Si utiliza openSUSE™ o SUSE™ Linux Enterprise Server, ejecute lo siguiente para aplicar los cambios: 
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rcnfsserver restart 

67.8.1.1. Acceso desde los clientes NFS. 

Ejecute como root desde el anfitrión cliente showmount con la opción -e para consultar los volúmenes 
exportados por el servidor NFS: 

showmount -e 192.168.70.2 

La salida debe ser similar a la siguiente: 

Export list for 192.168.70.2: 

/var/ftp/pub 192.168.70.0/25 

Si acaso fuese inexistente, genere el directorio local /var/ftp/pub: 

test -d /var/ftp/pub || mkdir -p /var/ftp/pub 
Monte el directorio remoto 192.168.70.2:/var/ftp/pub en el directorio local /var/ftp/pub: 

mount -o hard,intr,ro 192.168.70.2:/var/ftp/pub /var/ftp/pub 
Verifique ejecutando df que se ha montado con éxito el directorio remoto. 
df -h 

Para configurar permanentemente el directorio remoto, edite el archivo /etc/fstab: 
vi /etc/fstab 

Anada el siguiente contenido: 

192.168.70.2:/var/ftp/pub /var/ftp/pub nfs4 hard,intr,ro 0 0 
Reinicie el sistema y verifique que el directorio remoto montó exitosamente. 

67.9. Bibliografía. 

• es.wikipedia.org/wiki/Network_File_System 
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68.1. Introducción. 

68.1.1. Acerca del protocolo SMB. 

SMB (acrónimo de Server Message Block) es un protocolo, del Nivel de Presentación del modelo OSI de 
TCP/IP, creado en 1985 por IBM. Algunas veces es referido también como CIFS (Acrónimo de Common 
Internet File System , http://samba.org/cifs/) tras ser renombrado por Microsoft en 1998. Entre otras cosas, 
Microsoft anadió al protocolo soporte para enlaces simbólicos y duros así como también soporte para archivos 
de gran tamano. Por mera coincidencia, ésto ocurrió por la misma época en que Sun Microsystems hizo el 
lanzamiento de WebNFS (unaversión extendidade NFS, http://www.sun.com/software/webnfs/overview.xml). 

SMB fue originalmente disenado para trabajar a través del protocolo NetBIOS, el cual a su vez trabaja sobre 
NetBEUI (acrónimo de NetBIOS Extended User Interface, que se traduce como Interfaz de Usuario Extendida 
de NetBIOS), IPX/SPX (acrónimo de Internet Packet Exchange/Sequenced Packet Exchange, que se traduce 
como Intercambio de paquetes inter-red/lntercambio de paquetes secuenciales) o NBT, aunque también 
puede trabajar directamente sobre TCP/IP. 

68.1.2. Acerca de Samba. 

SAMBA es un conjunto de programas originalmente creados por Andrew Tridgell y actualmente mantenidos por 
The SAMBA Team, bajo la Licencia Publica General GNU y que implementan en sistemas basados sobre 
UNIX™ el protocolo SMB. Sirve como reemplazo total para Windows™ NT, Warp™, NFS™ o servidores 
Netware™. 

68.2. Equipamiento lógico necesario. 

Necesitará tener instalados los siguientes paquetes: 

• samba: Servidor SMB. 

• samba-client: Diversos clientes para el protocolo SMB. 

• samba-common: Archivos necesarios para cliente y servidor. 

Instalación a través de yum. 

Si utiliza CentOS, Fedora™ o Red Hat™ Enterprise Linux, sólo ejecute: 


yum -y install samba samba-client samba-common 


En CentOS 6 y Red Hat™ Enterprise Linux 6 se instalará Samba 3.6.9. 
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En CentOS 5 y Red Hat™ Enterprise Linux 5 se instalará Samba 3.0.33, sin embargo hay opción a utilizar en 
su lugar Samba 3.6.6 instalando los paquetes samba3x, samba3x-client y samba3x-common. 

yum remove samba samba-client samba-common 

yum -y install samba3x samba-client3x samba-common3x 

68.3. Modificaciones necesarias en el muro cortafuegos. 

Como servidor es necesario abrir los puertos 137/udp, 138/udp, 139/tcp y 445/tcp. 

Como cliente es necesario abrir los puertos 137/udp y 138/udp. 

68.3.1. Firevvalld. 

Asumiendo que la red de área local está detrás de la zona home, ejecute lo siguiente para abrir los puertos 
requeridos: 

firewall-cmd --zone=home --add-service=samba 
Ejecute lo siguiente para anadir de manera permanente la regla correspondiente: 

firewall-cmd --permanent --zone=home --add-service=samba 
Si utiliza la zona internal, simplemente reemplace home por internal en las reglas descritas arriba. 

68.3.2. Servicio iptables. 

Ejecute lo siguiente: 


iptables -A 

INPUT -m 

state 

--state 

NEW -m 

udp -p 

udp 

- -dport 

137: 

138 -j ACCEPT 

iptables -A 

INPUT -m 

state 

- -state 

NEW -m 

tcp -p 

tcp 

- -dport 

139 

-j ACCEPT 

iptables -A 

INPUT -m 

state 

--state 

NEW -m 

tcp -p 

tcp 

- -dport 

445 

-j ACCEPT 


Ejecute lo siguiente para guardar los cambios: 
service iptables save 

O bien edite el archivo /etc/sysconfig/iptables: 

vi /etc/sysconfig/iptables 
Y anada el siguiente contenido: 


-A 

INPUT -m 

state 

--state 

NEW -m 

udp -p 

udp 

- -dport 

137: 

138 -j ACCEPT 

-A 

INPUT -m 

state 

- -state 

NEW -m 

tcp -p 

tcp 

- -dport 

139 

-j ACCEPT 

-A 

INPUT -m 

state 

--state 

NEW -m 

tcp -p 

tcp 

- -dport 

445 

-j ACCEPT 


Reinicie el servicio para aplicar los cambios: 
service iptables restart 
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68.3.3. Shorewall. 

Edite el archivo /etc/shorewall/rules: 


vi /etc/shorewall/rules 


Ahada las siguientes reglas para permitir el acceso desde cualquier zona del muro cortafuegos: 


#ACTION 

SOURCE 

DEST 

PROTO 

DEST 

SOURCE 

# 

ACCEPT 

all 

fw 

udp 

PORT 

137,138 

PORT(S)1 

ACCEPT 

all 

fw 

tcp 

139,445 



Si se tienen varias zonas en el muro cortafuegos y sólo se desea permitir el acceso desde la zona 
correspondiente a red de área local, anada las siguientes reglas: 


#ACTION 

SOURCE 

DEST 

PROTO 

DEST 

SOURCE 

# 

ACCEPT 

loc 

fw 

udp 

PORT 

137,138 

PORT(S)1 

ACCEPT 

loc 

fw 

tcp 

139,445 



Ejecute lo siguiente para aplicar los cambios: 
service shorewall restart 

68.4. SELinux y el servicio smb. 

Para efectos de los objetivos de este documento, por favor ejecute la siguiente línea: 

setsebool -P samba_export_all_rw=l samba_enable_hoiïie_dirs=l 
Acontinuación la explicación de para qué sirven estas políticas y otras más. 

68.4.1. Políticas más comunes y contextos utilizados. 

Ejecute lo siguiente para permitir compartir todos los recursos en modo de sólo lectura: 
setsebool -P samba_export_all_ro=l 

Ejecute lo siguiente para permitir compartir todos los recursos en modo de lectura y escritura: 
setsebool -P samba_export_all_rw=l 

Para cualquiera de las dos políticas anteriores: los archivos y directorios a compartir requieren el contexto 

samba_share_t. Ejemplo: 

mkdir -p /srv/samba/ejemplo 

chcon -t samba_share_t /srv/samba/ejemplo 
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Ejecute semanage con fcontext como argumento, la opción -a, la opción -t con samba_share_t como 
argumento y el directorio o archivo de destino como último argumento para establecer este contexto como el 
predeterminado para éste: 


semanage fcontext -a -t samba_share_t /srv/samba/ejemplo 


Lo anterior permitirá establecer los contextos establecidos como los predeterminados para cada directorio o 
archivo definido. Es decir se restaurarán estos mimos contextos al ejecutar restorecon sobre estos archivos o 
directorios. Puede aplicarse también con cualquier otro contexto de SELinux. 

Ejecute lo siguiente sólo si se requiere permitir la escritura como usuario anónimo: 


setsebool -P allow_smbd_anon_write=l 


Lo anterior requiere que los archivos y directorios involucrados tengan el contexto public_content_rw_t. 
Ejemplo: 


mkdir -p /srv/samba/publico 

chown nobody:nobody /srv/samba/publico 

chcon -t public_content_rw_t /srv/samba/publico 


Ejecute semanage con fcontext como argumento, la opción -a, la opción -t con public_content_rw_t como 
argumento y el directorio o archivo de destino como último argumento para establecer este contexto como el 
predeterminado para éste: 


semanage fcontext -a -t public_content_rw_t /srv/samba/ejemplo 


68.4.2. Políticas para los directorios de inicio. 

Ejecute lo siguiente para permitir compartir a través de Samba los directorios de inicio de los usuarios del 
anfitrión local: 


setsebool -P samba_enable_home_dirs=l 

Ejecute lo siguiente para permitir utilizar los directorios de inicio de un servidor Samba remoto como los 
directorios de inicio del anfitrión local: 


setsebool -P use_samba_home_dirs=l 

68.4.3. Políticas específicas para Controlador Primario de Dominio. 

Ejecute lo siguiente a fin de que SELinux permita al servicio smb crear nuevos directorios de inicio para los 
usuarios a través de PAM —una operación común en Controladores Primarios de Dominio—: 

setsebool -P samba_create_home_dirs=l 

Ejecute lo siguiente para permitir el funcionamiento como Controlador Primario de Dominio (PDC, Primary 
Domain Controler): 

setsebool -P samba_domain_controller=l 


650 









Joel Barrios Duenas 


Configuración de Servidores con GNU/Linux 


Ejecute lo siguiente para permitir el funcionamiento como un organizador de mapa de puertos ( portmappper ): 
setsebool -P samba_portmapper=l 

Ejecute lo siguiente para permitir la ejecución sin confinamiento de programas dentro del directorio 

/var/l i b/sam ba/scri pts: 

setsebool -P samba_run_unconfined=l 

68.5. Procedimientos. 

68.5.1. Cuentas de usuario en samba. 

Asigne una contrasena al usuario root. Ésta puede ser distinta a la utilizada en el sistema. 
smbpasswd -a root 

Las cuentas de usuario que se utilizarán para acceder hacia Samba pueden prescindir de acceso al intérprete 
de mandatos. Se puede definir /sbin/nologin o /bin/false como intérprete de mandatos para la cuenta de 
usuario involucrada. 


useradd -s /sbin/nologin usuario 
smbpasswd -a usuario 


Es opcional —pero innecesario— asignar contrasena con passvvd, por lo cual las cuentas correspondientes 
estarían inactivas para el resto de los servicios. 

68.5.2. Archivo Imhosts. 

El archivo /etc/samba/lmhosts (Imhosts es acrónimo de LAN Manager hosts) se utiliza de modo similar al 
archivo /etc/hosts, pero se utiliza específicamente para resolver los nombres NetBIOS. Debe resolver al menos 
el nombre del anfitrión local. 

Edite el archivo /etc/samba/lmhosts: 


vi /etc/samba/lmhosts 


Encontrará el siguiente contenido: 


127.0.0.1 localhost 


El nombre NetBIOS debe tener un máximo de doce caracteres alfanuméricos. Normalmente se define el 
nombre corto del servidor asociado a la dirección IP utilizada para acceder a la red de área local. La separación 
de campos se hace con un tabulador. Ejemplo: 


127.0.0.1 localhost 

192.168.70.1 servidor 


Opcionalmente se pueden ahadir los nombres y direcciones IP de cada uno de los anfitriones de la red local. 
Ejemplo: 
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127.0.0.1 

192.168.70.1 

192.168.70.2 

192.168.70.3 

192.168.70.4 

192.168.70.5 

192.168.70.6 

192.168.70.7 

192.168.70.8 


localhost 

servidor 

joel 

blanca 

joelalejandro 

sergioarmando 

reneisaac 

finanzas 

direccion 


68.5.3. Archivo /etc/samba/smb.conf. 

Edite el archivo /etc/samba/smb.conf con cualquier editor de texto simple. 


vi /etc/samba/smb.conf 


Dentro de este archivo, encontrará información que será de utilidad y que está comentada con almohadillas 
(símbolo #) y varios ejemplos comentados con punto y coma (símbolo ;), siendo estos últimos los que se 
pueden tomar como referencia para configurar. 

68.5.3.1. Opción workgroup. 

Se utiliza para establecer el grupo de trabajo. El valor puede estar indistintamente en mayúsculas o minúsculas 
y debe tener una longitud del nombre debe ser de hasta 12 caracteres. Ejemplo: 


workgroup = MIGRUPO 


68.5.3.2. Opción netbios name. 

Permite establecer arbitrariamente un nombre de anfitrión distinto al detectado automáticamente. Este nombre 
de anfitrión deberá corresponder con el establecido en el archivo /etc/samba/lmhosts. El valor puede estar 
indistintamente en mayúsculas o minúsculas y debe tener una longitud del nombre debe ser de hasta 12 
caracteres. Ejemplo: 


netbios name = servidor 


68.5.3.3. Opción server string. 

Es de carácter informativo para los usuarios de la red de área local. Permite definir una descripción breve 
acerca del servidor. 


server string = Servidor Samba %v en %L 


68.5.3.4. Opción hosts allow. 

Permite establecer seguridad adicional estableciendo la lista de control de acceso de anfitriones. En ésta se 
pueden definir direcciones IP individuales o bloques de direcciones IP que tendrán permiso de acceso hacia el 
servidor. 


Si la red consiste en las anfitriones con dirección IP que van desde 192.168.70.1 hasta 192.168.70.254, el 
rango de direcciones IP que se definirá en hosts allow será «192.168.70.», de modo tal que sólo se permitirá 
el acceso dichas máquinas. En el siguiente ejemplo se definen las redes 192.168.70.0/24 y 192.168.37.0/24, 
especificando los tres primeros octetos de la dirección IP de red, así como cualquier dirección IP de la red 
127.0.0.0/8 (retorno del sistema o loopback), siendo necesario definir sólo el primer octeto de dicho segmento: 
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hosts allOW = 127., 192.168.70., 192.168.37. 


68.5.3.5. Opción name resolve order. 

De modo predeterminado está ausente de la configuración. Puede anadirla después de la opción mencionada 
arriba. Define el orden a través del cual se tratará de resolver los nombres NETBIOS. Si utiliza el siguiente 
ejemplo, se establece que primero se intentará resolver los nombres NETBIOS con la información del archivo 
/etc/samba/lmhosts, luego el archivo /etc/hosts, luego a través de consultas en el servidor WINS y, si todo lo 
anterior falla, a través de la dirección IP de difusión de la red local. 


name resolve order = lmhosts hosts wins bcast 


Si se va a utilizar un servidor WINS en otro servidor o se está configurando el sistema sólo como cliente SMB, 
se pueden agilizar las comunicaciones con el resto de los equipos de la red local estableciendo wins como la 
primera opción para resolución de nombres NETBIOS: 


name resolve order = wins lmhosts hosts bcast 


Nota. 

Los administradores de archivos de los distintos escritorios de Linux requieren que esté presente esta última 
configuración en el archivo /etc/samba/smb.conf del anfitrión desde el cual se ejecute y que además se especifique 
wins en el orden de resolución de nombres del archivo /etc/nsswitch.conf del anfitrión desde el cual se ejecute. De 
otro modo Nautilus mostrará invariablemente un error cada vez que se intente conectar a cualquier servidor de red 
utilizando un nombre NETBIOS. 

Guarde el archivo /etc/samba/smb.conf, regrese al intérprete de mandatos y edite el archivo /etc/nsswitch.conf: 
vi /etc/nsswitch.conf 

En CentOS 6 y Red Hat™ Enterprise Linux 6, alrededor de la línea 38, localice lo siguiente: 

hosts: files dns 

Anada wins después de dns: 

hosts: files dns wins 

En versiones recientes de Fedora™, openSUSE™ o Ubuntu™ encontrará lo siguiente alrededor de la línea 63: 

files mdns4„minimal [NOTFOUND=return] dns 
Anada wins después de dns: 

files mdns4_minimal [NOTFOUND=return] dns wins 


68.5.3.6. Opción interfaces. 

Permite establecer qué interfaces de red del anfitrión local utilizar. Samba rechazará todas las conexiones 
provenientes desde cualquier otra interfaz o dirección IP sin definir. Ésto es útil cuando Samba se ejecuta en un 
servidor que sirve además de puerta de enlace para la red local, impidiendo se establezcan conexiones hacia 
este servicio desde Internet o bien fuera del bloque o segmento de direcciones de la red local. 
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Los valores aceptados para esta opción consisten una lista separada por comas o espacios, con los nombres 
de las interfaces (lo, ethO, ethl, etc.) y direcciones IP utilizada en una interfaz en particular, con la máscara de 
sub-red en formato CIDR (Classless Inter-Domain Routing), es decir, expresada en bits. Ejemplo: 


interfaces = lo, ethl, 192.168.70.254/25 


68.5.4. Opción remote announce. 

Sólo se utiliza cuando hay más de un grupo de trabajo en la red de área local. Esta opción se encarga de 
que el servidor Samba se anuncie a si mismo de forma periódica hacia uno o más grupos de trabajo 
específicos. Se utiliza cuando se necesita que el servidor Samba aparezca en otros grupos de trabajo 
existentes en la red de área local. El grupo de trabajo de destino puede estar en donde sea, mientras exista una 
ruta y sea posible la difusión exitosa de paquetes. 

Los valores que pueden ser utilizados son direcciones IP de difusión (broadcast) de la red utilizada (es decir la 
última dirección IP del segmento de red) y/o nombres de grupos de trabajo. En el siguiente ejemplo se define 
que el servidor Samba se anuncie a través de las direcciones IP de difusión 192.168.70.127 (que corresponde 
a la dirección IP de difusión de la red 192.168.70.0/25) y 192.168.2.255 (que corresponde a la dirección IP de 
difusión de la red 192.168.2.0/24), hacia los grupos de trabajo DOMINIOl y D0MINI02 que corresponden a 
estas redes. 


remote announce = 192.168.70.127/DOMINIOl, 192.168.2.255/D0MINI02 


68.5.5. Iniciar el servicio y anadirlo al arranque del sistema. 

68.5.5.1. CentOS 7 y Red Hat™ Enterprise Linux 7 y versiones posteriores. 

Para iniciar los servicios nmb y smb por primera vez, ejecute: 

systemctl start nmb 
systemctl start smb 

Si realiza algún cambio en la configuración de la opción netbios name, es necesario reiniciar el servicio nmb, 
el cual es el encargado de proveer el servidor de nombres para los clientes a través de NetBIOS sobre IP. 

systemctl restart nmb 

Si va a aplicar algún cambio en cualquier otra opción de la configuración, como son los recursos compartidos, 
sólo es necesario reiniciar el servicio smb: 


systemctl restart smb 

Para que los servicios nmb y smb inicien automáticamente junto con el sistema, ejecute lo siguiente: 

systemctl enable nmb 
systemctl enable smb 

68.5.5.2. ALDOS 1.4, CentOS 6 y Red Hat™ Enterprise Linux 6 y versiones anteriores. 

Para iniciar los servicios nmb y smb por primera vez, ejecute: 
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service nmb start 
service smb start 


Si realiza algún cambio en la configuración de la opción netbios name, es necesario reiniciar el servicio nmb, 
el cual es el encargado de proveer el servidor de nombres para los clientes a través de NetBIOS sobre IP. 


service nmb restart 


Si va a aplicar algún cambio en cualquier otra opción de la configuración, como son los recursos compartidos, 
sólo es necesario reiniciar el servicio smb: 


service smb restart 


Para que los servicios nmb y smb inicien automáticamente junto con el sistema, ejecute lo siguiente: 


chkconfig nmb on 
chkconfig smb on 


68.5.6. Impresoras en Samba. 

Las impresoras se comparten de modo predeterminado y sólo hay que realizar algunos ajustes. Si se desea 
que se pueda acceder hacia la impresora como usuario invitado sin contrasena, anada public = Yes — lo 
mimso queguest ok = Yes — en la sección de impresoras. 

Edite el archivo /etc/samba/smb.conf: 


vi /etc/samba/smb.conf 


Localice la sección de impresoras y anada public = Yes a la configuración: 


[printers] 

comment = E1 comentario que guste. 

path = /var/spool/samba 

printable = Yes 

browseable = No 

writable = no 

printable = yes 

public = Yes 


Para aplicar los cambios, reinicie el servicio smb: 


service smb restart 


Para la administración de las colas de impresión, anteriormente se hacía utilizando la opción printer admin, 
definiendo una lista de usuarios o grupos. Actualmente se hace de manera similar a cómo se hace en en 
VVindovvs, utilizando políticas, ejecute: 


net -S servidor -U root rpc rights grant fulano SePrintOperatorPrivilege 


68.5.7. Compartir directorios a través de Samba. 

En el mismo archivo de configuración de Samba encontrará distintos ejemplos para distintas situaciones 
particulares. Lo siguiente corresponde a un ejemplo básico: 
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[lo_que„sea] 

comment = Comentario que se le ocurra 
path = /cualquier/ruta/que/desee/compartir 


Procure que los nombres de los recursos a compartir tengan un máximo de 12 caracteres, utilizando sólo 
caracteres alfanuméricos de la tabla de caracteres ASCII. 

El volumen puede utilizar cualquiera de las siguientes opciones: 

guest ok 

Define si se permitirá el acceso como usuario invitado. El valor puede ser Yes o No. 


public 

Es un equivalente de guest ok, es decir define si se permitirá el acceso como usuario invitado. El valor 
puede ser Yes o No. 

browseable 

Define si se permitirá mostrar este recurso en las listas de recursos compartidos. El valor puede ser Yes o 
No. 


writable 

Define si se permitirá la escritura. Es la opción contraria de read only. El valor puede ser Yes o No. 
Ejemplos: «writable = Yes» es lo mismo que «read only = No». Obviamente «writable = No» es lo 
mismo que «read only = Yes» 


valid users 

Define los usuarios o grupos, que podrán acceder al recurso compartido. Los valores pueden ser 
nombres de usuarios separados por comas o bien nombres de grupo antecedidos por una @. Ejemplo: 
fulano, mengano, (aadministradores 

write list 

Define los usuarios o grupos, que podrán acceder con permiso de escritura. Los valores pueden ser 
nombres de usuarios separados por comas o bien nombres de grupo antecedidos por una @. Ejemplo: 
fulano, mengano, @administradores 

admin users 

Define los usuarios o grupos, que podrán acceder con permisos administrativos para el recurso. Es decir, 
podrán acceder hacia el recurso realizando todas las operaciones como super-usuarios. Los valores 
pueden ser nombres de usuarios separados por comas o bien nombres de grupo antecedidos por una @. 
Ejemplo: fulano, mengano, @administradores 


directory mask 

Es lo mismo que directory mode. Define qué permiso en el sistema tendrán los subdirectorios creados 
dentro del recurso. Ejemplos: 1777< 

create mask 

Define que permiso en el sistema tendrán los nuevos archivos creados dentro del recurso. Ejemplo: 0644 

68.5.7.1. Ejemplo. 

En el siguiente ejemplo se compartirá a través de Samba el recurso denominado ejemplo, el cual está 
localizado en el directorio /srv/samba/ejemplo de la unidad de almacenamiento. Se permitirá el acceso a 
cualquiera, pero será un recurso de sólo lectura excepto para los usuarios administrador y fulano, quienes 
tendrán privilegios de lectura y escritura. Todo nuevo directorio que sea creado en su interior tendrá permiso 
755 (drwxr-xr-x) y todo archivo que sea puesto en su interior tendrá permisos 644 (-rw-r--r--). 
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Genere el nuevo directorio /srv/samba/ejemplo ejecutando lo siguiente: 

mkdir -p /srv/samba/ejemplo 

Cambie el contexto de SELinux a fin de que este directorio sea considerado como contenido Samba. 

chcon -t samba_share_t /srv/samba/ejemplo 

Ejecute lo siguiente para hacer permanente el contexto: 

semanage fcontext -a -t samba_share_t /srv/samba/ejemplo 

Cambie asigne las listas de control de acceso con permisos de lectura, escritura y acceso a los usuarios fulano 
y zutano: 

setfacl -m u:fulano:rwX,u:zutano:rwX /srv/samba/ejemplo 

Edite el archivo /etc/samba/smb.conf: 


vi /etc/samba/smb.conf 


Al final del archivo anada el siguiente contenido: 


[ejemplo] 

comment = Recurso de ejemplo 

path = /srv/samba/ejemplo 

guest ok = Yes 

read only = Yes 

write list = fulano, zutano 

directory mask = 0755 

create mask = 0644 


Guarde los cambios y salga del editor de texto. 


Reinicie el servicio smb para aplicar los cambios: 
service smb restart 

Ejecute smbclient con //localhost/ejemplo como argumento y la opción -U (mayúscula) con fulano como 
argumento. Se solicitará ingresar la contrasena del usuario fulano. 

smbclient //locahost/ejemplo -U fulano 


Pulse CTRL-D o ejecute exit para salir del intérprete de smbclient. 

68.5.7.2. Ocultando archivos que inician con punto. 

Es poco conveniente que los usuarios puedan acceder, notando la presencia de archivos ocultos (archivos de 
configuración, por lo general), es decir archivos cuyo nombre comienza con un punto, como es el caso del 
directorio de inicio del usuario en el servidor Samba (.bashrc, ,bash_profile, .bash_history, etc.). Puede 
utilizarse la opción hide dot files, con el valor Yes, para mantenerlos ocultos. 
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hide dot files = Yes 

Esta opción es útil para complementar la configuración de los directorios personales de los usuarios. 

Edite el archivo /etc/samba/smb.conf: 

vi /etc/samba/smb.conf 

Localice la configuración correspondiente a los directorios de inicio de los usuarios y anada la opción hide dot 
files con el valor Yes, como se muestra a continuación: 

[homes] 

comment = Home Directories 
browseable = no 
writable = yes 

hide dot files = Yes 

Para aplicar los cambios, reinicie el servicio smb: 
service smb restart 

68.6. Comprobaciones. 

68.6.1. Modo texto desde GNU/Linux. 

68.6.1.1. Montaje de recursos compartidos desde GNU/Linux. 

Este procedimiento se realiza en estaciones de trabajo Linux que requieren acceder hacia volúmenes SMB. 

Abra una terminal como root en el equipo cliente y genere un nuevo directorio denominado /mnt/ejemplo: 
mkdir /mnt/ejemplo 

Ejecute mount con la opción -t con el valor cifs, la opción -o para especificar con username el nombre de 
usuario a utilizar, la ruta del recurso compartido en el servidor Samba y el punto de montaje a utilizar: 

mount -t cifs -o username=fulano //servidor/ejemplo /mnt/ejemplo 

Lo anterior solicitará se ingrese la contrasena del usuario utilizado en el servidor Samba especificado. 

Para hacer permanente lo anterior, utilice un editor de texto para crear el archivo /etc/credentials: 
vi /etc/credentials 

Anada el siguiente contenido, especificando el nombre de usuario y contrasena que serán utilizados 
específicamente con el recurso compartido involucrado: 

username=fulano 

password=contrasena 
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Cambie los permisos de acceso del archivo, de modo que sólo el usuario root pueda ver y modificar el 
contenido de éste: 


chmod 600 /etc/credentials 


Edite el archivo /etc/fstab: 


vi /etc/fstab 


Anada el siguiente contenido, especificando con las opciones uid y gid los números de UID y GID del usuario y 
grupo del anfitrión local que utilizarán el recurso. De modo predeterminado, este recurso será montado 
automáticamente con el siguiente reinicio de sistema. 


//servidor/ejemplo /mnt/ejemplo cifs credentials=/etc/credentials,uid=1005,gid=1005 
0 0 ' 


Utilice las opciones noauto y user si se prefiere que el recurso sea montado manualmente por un usuario del 
anfitrión local: 


//servidor/ejemplo /mnt/ejemplo cifs credentials=/etc/credentials,uid=1005,gid=1005,noauto,user 
0 0 


68.6.1.2. Herramienta smbclient desde GNU/Linux. 

Indudablemente el método más práctico y también el más sencillo para utilizar y hacer pruebas de diagnóstico 
utilizando smbclient. Éste permite acceder hacía cualquier servidor Samba o VVindovvs™, de modo similar a 
como se hace con ftp en el intérprete de mandatos. 

Para acceder al cualquier recurso CIFS/SMB, determine primero qué volúmenes o recursos compartidos hay. 
Ejecute smbdient del siguiente modo: 


smbclient -U usuario -L servidor 


Lo anterior devolverá una salida similar la siguiente: 


Domain=[MI-DOMINIO] 0S= 

[Unix] Server=[Samba 3.6.9-151.el6] 


Sharename 

Type 

Comment 


homes 

Disk 

Home Directories 


netlogon 

Disk 

Network Logon Service 


ejemplo 

Disk 

ejemplo 


IPC$ 

IPC 

IPC Service (Servidor Samba 3.5.4- 

68.el6 0.2 en mi- 

servidor) 




ADMIN$ 

IPC 

IPC Service (Servidor Samba 3.5.4- 

68.el6 0.2 en mi- 

servidor) 




epl5900 

Printer 

Created by system-config-printer 1 

. 2. x 

hp2550bw 

Printer 

Created by system-config-printer 1 

. 2. x 

Anonymous login successful 



Domain=[MI-DOMINIO] 0S= 

[Unix] Server=[Samba 3.6.9-151.el6] 


Server 

Comment 


mi-servidor 

Servidor Samba 3.6.9-151.el6 en mi-servidor 

Workgroup 

Master 


MI-DOMINIO 

MI ■ 

-SERVIDOR 
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La siguiente corresponde a la sintaxis básica para poder acceder hacia los recursos compartidos a través de 
CIFS/SMB: 


smbclient //alguna_maquina/recurso -U usuario 


Ejemplo: 


smbclient //SERVIDOR/EJEMPLO -U fulano 


Lo anterior solicitará la contrasena del usuario fulano. 


smbclient //SERVIDOR/EJEMPLO -U fulano 

added interface ip=192.168.70.126 bcast=192.168.70.127 nmask=255.255.255.128 
Password: 

Domain=[fulano] OS=[Unix] Server=[Samba 3.6.9-151.el6] 
smb: > 


Pueden utilizarse casi las mismas funciones del intérprete de ftp —como serían get, mget, put, del, etc. 

68.6.2. Modo gráfico 
68.6.2.1. Desde el escritorio Linux. 

Las principales interfaces de escritorio para Linux —MATE, Cinnamon, Unity, GNOME, KDE, Xfce— incluyen 
soporte de cliente CIFS/SMB para sus administradores de archivos. Los URI deben utilizar el formato 
smb://servidor/recurso. Ejemplo: 
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Se requiere que exista un servidor WINS en la red local, se tenga establecida la opción name resolve order en 
el archivo /etc/samba/smb.conf y que la opción hosts del archivo /etc/nsswitch.conf incluya wins. 

68.6.2.2. Desde Windows. 

Desde Windows deberá ser posible acceder sin problemas hacia cualquier servidor Samba, como si fuese 
hacia cualquier otro sistema con Windows. 
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69. Configuración de Samba para denegar acceso a 
ciertos archivos. 


Autor: Joel Barrios Duerías 
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Creative Commons Reconocimiento-NoComercial-Compartirlgual 2.1 
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69.1. Introducción. 

En algunos casos puede ser necesario denegar el acceso a ciertas extensiones de archivos, como archivos de 
sistema y archivos de multimedios como MP3, MP4, MPEG y DivX. 

Este documento considera que usted ya ha leído previamente —a detalle y en su totalidad— el manual «Cómo 
configurar Samba básico» y que ha configurado exitosamente Samba como servidor de archivos. 

69.2. Procedimientos. 

69.2.1. Modificaciones del archivo /etc/samba/smb.conf. 

Edite el archivo /etc/samba/smb.conf. 


vi /etc/samba/smb.conf 


Localice la sección correspondiente a la configuración de los directorios de inicio. Encontrará algo similar a lo 
siguiente: 


[homes] 

comment = Home Directories 
browseable = no 
writable = yes 
; valid users = %S 

; valid users = MYD0MAIN\%S 


La opción veto files se utiliza para especificar la lista, separada por diagonales, de aquellas cadenas de texto 
que denegarán el acceso a los archivos cuyos nombres contengan estas cadenas. En el siguiente ejemplo, se 
denegará el acceso hacia los archivos cuyos nombres incluyan la palabra «Security» y los que tengan extensión 
o terminen en «.tmp»: 


[homes] 

comment = Home Directories 
browseable = no 
writable = yes 
hide dot files = Yes 

veto files = /*Security*/*.tmp/ 


En el siguiente ejemplo, se denegará el acceso hacia los archivos que tengan las extensiones o terminen en 
«,mp3», «,mp4 », «.mpeg» y «.avi» en todos los directorios personales de todos los usuarios del sistema: 
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[homes] 

comment = Home Directories 
browseable = no 
writable = yes 
hide dot files = Yes 

veto files = /*,mp3/*,mp4/*.mpg/*.avi/*.tmp/ 


69.3. Reiniciar el servicio smb. 

Ejecute lo siguiente para hacer que surtan efecto los cambios realizados a la configuración: 
service smb restart 


69.4. Comprobaciones. 

Con la finalizad de realizar pruebas, genere con el mandato echo del sistema un archivo denominado 

prueba.mp3: 

echo "archivo MP3 de pruebas" > prueba.mp3 
Genere al usuario pruebasmp3: 
useradd pruebasmp3 

Utilice el mandato smbpasswd y asigne 123qwe como clave de acceso al usuario pruebasmp3: 
smbpasswd -a pruebasmp3 

Acceda con smbclient hacia el servidor Samba con el usuario pruebasmp3: 

smbclient //127.0.0.l/pruebasmp3 -Upruebasmp3%123qwe 

Lo anterior debe devolver una salida similar a la siguiente: 

Domain=[M064] OS=[Unix] Server=[Samba 3.2.0rcl-14.9.el5.al] 
smb: > 


Utilizando el mandato put del intérprete SMB, suba el archivo prueba.txt al directorio personal de 
pruebasmp3: 

smb: > put prueba.mp3 


Lo anterior debe devolver una salida similar a la siguiente indicando el mensaje 
NT„STATUS_OBJECTJ\IAME_NOT_FOUND como respuesta, lo cual indica que no fue permitido subir el 
archivo prueba.mp3: 

smb: > put prueba.mp3 

NT_STATUS_OBJECT_NAME NOT_FOUI\ID opening remote file prueba.mp3 

smb: > 


Para salir del intérprete SMB utilice el mandato exit: 
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smb: > exit 
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70.1. Introducción. 

En algunas circunstancias, es necesario anadir una Papelera de Reciclaje (Recycle Bin) para evitar la 
eliminación permanente del contenido de un directorio compartido a través de Samba. Es particularmente útil 
para los directorios personales de los usuario. 

El siguiente procedimiento considera que usted ya ha leído previamente —a detalle y en su totalidad— el 
manual «Cómo configurar Samba básico» y que ha configurado exitosamente Samba como servidor de 
archivos. 

70.2. Procedimientos. 

70.2.1. Modificaciones del archivo /etc/samba/smb.conf. 

Edite el archivo /etc/samba/smb.conf. 


vi /etc/samba/smb.conf 


Localice la sección correspondiente a la configuración de los directorios de inicio. Encontrará algo similar a lo 
siguiente: 


[homes] 

comment = Home Directories 
browseable = no 
writable = yes 
; valid users = %S 

; valid users = MYD0MAIN\%S 


La Papelera de Reciclaje se activa anadiendo al recurso a compartir los parámetros vfs objects y 
recycleirepository del modo ejemplificado a continuación: 


[homes] 

comment = Home Directories 
browseable = no 
writable = yes 
; valid users = %S 

; valid users = MYD0MAIN\%S 

vfs objects = recycle 
recycle:repository = Recycle Bin 


Lo anterior creara el objeto recycle, que almacenará los contenidos eliminados desde el cliente en un 
subdirectorio denominado Recycle Bin, el cual es creado si éste no existiera. Si el contenido de Recycle Bin 
es eliminado, éste se hará de forma permanente. 
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En el caso de directorios compartidos que sean accedidos por distintos usuarios, el subdirectorio Recycle Bin 
se crea con permisos de acceso solo para el primer usuario que elimine contenido. Lo correcto es solo utilizarlo 
en directorios compartidos que solo sean utilizados por un solo usuario. De ser necesario, se puede cambiar el 
permiso de acceso del subdirectorio Recycle Bin con el mandato chmod de 0700 a 1777 para permitir a otros 
usuarios utilizar éste, tomando en cuenta que de esta forma el contenido conservará los privilegios de cada 
usuario y los contenidos solo podrán ser eliminados permanentemente por sus propietarios correspondientes. 

Se pueden aríadir más opciones para lograr un comportamiento más similar al de una Papelera de Reciclaje 
normal en Windows. El parámetro recycle:versions define que si hay dos o más archivos con el mismo 
nombre y estos son enviados a la Papelera de Reciclaje, se mantendrán todos donde los archivo más 
recientes tendrán un nombre con el esquema «Copy #x of nombre-archivo» (es decir, Copia #x del nombre- 
archivo). El parámetro recycle:keeptree define que si se elimina un directorio con subdirectorios y contenido, 
se mantendrá la estructura de éstos. 


[homes] 

comment = Home Directories 

browseable = no 

writable = yes 

vfs objects = recycle 

recycle:repository = Recycle Bin 

recycle:versions = Yes 

recycle:keeptree = Yes 


Se puede definir además que se excluyan archivos (recycle:exclude) y directorios (recycle:exclude_dir) de 
ser enviado a la Papelera de Reciclaje cierto tipo de contenido y sea eliminado de forma permanente de 
inmediato. Las listas para archivos y directorios son separadas por tuberías (|) y aceptan comodines (* y ?). En 
el siguiente ejemplo se excluyen los archivos con extensiones *.tmp, *.temp, *.o, *.obj, -$*, *.-??, *.log, 
*.trace y *.TMP y los directorios /tmp, /temp y /cache. 


[homes] 

comment = Home Directories 
browseable = no 
writable = yes 
; valid users = %S 

; valid users = MYD0MAIN\%S 

vfs objects = recycle 
recycle:repository = Recycle Bin 
recycle:versions = Yes 
recycle:keeptree = Yes 

recycle:exclude = *.tmp|*.temp|*.o|*.obj|~$*|*.-??|*.log|*.trace|*.TMP 
recycle:excludedir = /tmp|/temp|/cache 


Si no se quiere que se guarden versiones distintas de archivos con el mismo nombre, para algunas 
extensiones, es posible hacerlo definiendo el parámetro recycle:noversions y una lista de extensiones de 
archivos separados por tuberías (|). En el siguiente ejemplo, se indica que no se guarden diferentes versiones 
de archivos con el mismo nombre que tengan las extensiones *.doc, *.ppt, *.dat y *.ini. 


[homes] 

comment = Home Directories 
browseable = no 
writable = yes 
; valid users = %S 

; valid users = MYD0MAIN\%S 

vfs objects = recycle 
recycle:repository = Recycle Bin 
recycle:versions = Yes 
recycle:keeptree = Yes 

recycle:exclude = *.tmp|*.temp]*.o|*.obj|~$*|*.-??|*.log|*.trace|*.TMP 
recycle:excludedir = /tmp[/temp|/cache 

recycle:noversions = *.doc|*.ppt|*.dat|*.ini 
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También es posible definir un mínimo y un máximo de tamano en bytes a través de los parámetros 
recycle:minsize, que define un tamano mínimo y recycle:maxsize, que define un tamano máximo. Cualquier 
archivo que esté fuera de estos límites establecidos, será eliminado permanentemente de forma inmediata. En 
el siguiente ejemplo se define que solo podrán ser enviados a la Papelera de Reciclaje los archivos que tengan 
un tamano mínimo de 10 bytes y un tarnano máximo de 5120 bytes (5 MB) 


[homes] 

comment = Home Directories 

browseable = no 

writable = yes 

hide dot files = Yes 

vfs objects = recycle 

recycle:repository = Recycle Bin 

recycle:versions = Yes 

recycle:keeptree = Yes 

recycle:exclude = *.tmp|*.temp|*.o|*.obj|~$*|*.-??|*.log|*.trace|*.TMP 
recycle:excludedir = /tmp|/temp|/cache 
recycle:noversions = *.doc|*.ppt|*.dat|*.ini 

recycle:minsize = 10 
recycle:maxsize = 5120 


70.3. Reiniciar el servicio smb. 


Ejecute lo siguiente para hacer que surtan efecto los cambios realizados a la configuración: 


service smb restart 


70.4. Comprobaciones. 

Con la finalizad de realizar pruebas, genere con el mandato echo del sistema un archivo denominado 

prueba.txt: 

echo "archivo de pruebas" > prueba.txt 
Genere al usuario pruebassamba: 
useradd pruebassamba 

Utilice el mandato smbpasswd y asigne 123qwe como clave de acceso al usuario pruebassamba: 

smbpasswd -a pruebassamba 

Acceda con smbclient hacia el servidor Samba con el usuario pruebassamba: 

smbclient //127.0.0.1/pruebassamba -Upruebassamba%123qwe 

Lo anterior debe devolver una salida similar a la siguiente: 

Domain=[M064] 0S=[Unix] Server=[Samba 3.2.0rcl-14.9.el5.al] 
smb: > 

Utilizando el mandato put del intérprete SMB, suba el archivo prueba.txt al directorio personal de 
pruebassamba: 
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smb: > put prueba.txt 

Lo anterior debe devolver una salida similar a la siguiente: 

smb: > put prueba.txt 

putting file prueba.txt as prueba.txt (0,4 kb/s) (average 0,4 kb/s) 
smb: > 

Visualice el contenido del directorio actual desde el intérprete SMB utilizando el mandato dirpara verificar que 
se ha subido el archivo prueba.txt: 

smb: > dir 


Lo anterior debe devolver una salida similar a la siguiente: 

smb: > dir 

D 0 Wed Jun 18 20:44:39 2008 
D 0 Wed Jun 18 20:04:14 2008 


.bashrc 

H 

124 

Wed 

Jun 

18 20:04:14 2008 

.bash_profile 


H 

176 

Wed 

Jun 18 20:04:14 2008 

.bash_logout 

H 

24 

Wed 

Jun 

18 20:04:14 2008 

prueba.txt 

A 

19 

Wed 

Jun 

18 20:44:39 2008 


34173 blocks of size 524288. 12143 blocks available 

smb: > 


Elimine el archivo prueba.txt utilizando el mandato del desde el intérprete SMB: 


smb: > del prueba.txt 

smb: > 


Visualice de nuevo el contenido del directorio con el mandato dir, lo cual debe devolver una salida similar a la 
siguiente donde ha desaparecido el archivo prueba.txt y ahora aparece el directorio Recycle Bin: 


smb: > dir 


.bashrc 
.bash_profile 
.bash_logout 
.zshrc 
. kde 
.emacs 
Recycle Bin 


D 0 Wed Jun 18 20:52:49 2008 
D 0 Wed Jun 18 20:04:14 2008 

H 124 Wed Jun 18 20:04:14 2008 

H 176 Wed Jun 18 20:04:14 2008 

H 24 Wed Jun 18 20:04:14 2008 

H 658 Wed Jun 18 20:04:14 2008 

DH 0 Wed Jun 18 20:04:14 2008 
H 515 Wed Jun 18 20:04:14 2008 

D 0 Wed Jun 18 20:52:49 2008 


smb: > 


34173 blocks of size 524288. 12143 blocks available 


Acceda al directorio Recycle Bin utilizando el mandato cd: 


smb: > 

smb: > cd "Recycle Bin" 


Visualice el contenido con el mandato dir, lo cual debe devolver una salida similar a la siguiente donde se 
muestra que el archivo prueba.txt, que fue eliminado con el mandato del, ahora está dentro del directorio 

Recycle Bin. 
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smb: Recycle Bin> dir 

D 0 Wed Jun 18 20:52:49 2008 

D 0 Wed Jun 18 20:52:49 2008 

prueba.txt A 19 Wed Jun 18 20:44:39 2008 

34173 blocks of size 524288. 12141 blocks available 


Para salir del intérprete SMB utilice el mandato exit: 


smb: Recycle Bin> exit 
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71.1. Introducción. 

WINS (Windows Internet Name Service) es un servidor de nombres de para NetBIOS, que se encarga de 
mantener una tabla con la correspondencia entre direcciones IP y nombres NetBIOS, de los equipos que 
conforman la red local. Esta lista permite localizar rápidamente a otro equipo dentro de la red. Al utilizar un 
servidor WINS se evita el realizar búsquedas innecesarias a través de difusión (broadcast) reduciendo 
sustancialmente el tráfico de red. La resolución de nombres em Sambase lleva a cabo realizando consultas en 
el siguiente orden: 

1. Servidor WINS 

2. Información del archivo /etc/samba/lmhosts 

3. Información del archivo /etc/hosts 

4. Difusión (broadcast) 

Este documento considera que usted ya ha leído previamente —a detalle y en su totalidad— el manual «Cómo 
configurar Samba básico» y que ha configurado exitosamente Samba como servidor de archivos. 

71.2. Procedimientos. 

71.2.1. Modificaciones del archivo /etc/samba/smb.conf. 

Edite el archivo /etc/samba/smb.conf. 

vi /etc/samba/smb.conf 


Localice dentro de la sección global a la configuración de resolución de nombres. Encontrará algo similar alo 
siguiente: 


# . Name Resolution . 

# Windows Internet Name Serving Support Section: 

# Note: Samba can be either a WINS Server, or a WINS Client, but NOT both 

# 

# - WINS Support: Tells the NMBD component of Samba to enable it's WINS Server 

# 

# - WINS Server: Tells the NMBD components of Samba to be a WINS Client 

# 

# - WINS Proxy: Tells Samba to answer name resolution queries on 

# behalf of a non WINS capable client, for this to work there must be 

# at least one WINS Server on the network. The default is NO. 

# 

# DNS Proxy - tells Samba whether or not to try to resolve NetBlOS names 
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# via DNS nslookups. 

; wins support = yes 

; wins server = w.x.y.z 

; wins proxy = yes 

; dns proxy = yes 


71.2.2. Opciones wins server y wins support. 

Se puede definir que el servidor Samba recién configurado se convierta en un servidor WINS o bien utilizar un 
servidor WINS ya existente. No es posible ser cliente y servidor al mismo tiempo. Las opcions wins server 
y wins support, que se definen en la sección [global] del archivo /etc/samba/smb.conf, son mutuamente 
excluyentes. 

Si el sistema va ser utilizado como servidor WINS, debe habilitarse la opción wins support con el valor yes: 
wins support = Yes 


Si el sistema va a utilizar un servidor WINS existente, debe habilitarse la opción wins server y como valor se 
especifica la dirección IP que utilice el servidor WINS. En el siguiente ejemplo se define al sistema con dirección 

IP 192.168.1.1 como servidor WINS: 


wins server = 192.168.1.1 

71.2.3. Opción name resolve order. 

Define en Samba el orden de los métodos a través de los cuales se intentará resolver los nombres NetBIOS. 
Pueden definirse hasta hasta cuatro valores: wins, Imhosts, hosts y bcast, como se rmuestra en el siguiente 
ejemplo. 

name resolve order = wins lmhosts hosts bcast 

71.2.4. Opción wins proxy. 

Cuando su valor es yes, permite a Samba como servidor intermediario (proxy) para otro servidor WINS. 
wins proxy = yes 

El valor predeterminado de esta opción es no. 

71.2.5. Opción dns proxy. 

Cuando su valor es yes, permite a Samba realizar búsquedas en un servidor DNS si le es imposible determinar 
un nombre a través de un servidor WINS. 

dns proxy = yes 


El valor predeterminado de esta opción es no. 

71.2.6. Opción max ttl. 
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La opción max ttl define el máximo tiempo de vida en segundos para los nombres NetBIOS que han sido 
consultados como cliente WINS en un servidor WINS. su valor predeterminado es 259200, que corresponde a 
tres días. Por lo general no es necesario modificar esta opción. Si las direcciones IP de los equipos que 
integran la red local cambian demasiado frecuentemente, puede reducirse este tiempo. En el siguiente ejemplo, 
se definen 48 horas como tiempo máximo de vida para los nombres NetBIOS: 


max ttl = 86400 


71.2.7. Opciones max wins ttl y min wins ttl. 

Las opciones max wins ttl y min wins ttl, corresponden a los tiempos máximo y mínimo, respectivamente, en 
escala de segundos, que tendrán de vida los nombres NetBIOS que han sido asignados por el servidor Samba. 
El valor predeterminado de meix wins ttl, es 518400, es decir, 6 días y el valor predeterminado de min wins ttl, 
es 21600, es decir, 6 horas. Por lo general no es necesario modificar estas opciones. Si las direcciones IP 
de los equipos que integran la red local cambian muy frecuentemente, pueden modificarse estos tiempos. En el 
siguiente ejemplo se redundan los valores predeterminados: 


max wins ttl = 518400 
min wins ttl = 21600 


71.3. Reiniciar el servicio smb. 

Ejecute lo siguiente para hacer que surtan efecto los cambios realizados a la configuración: 

service smb restart 
service nmb restart 

71.4. Comprobaciones. 

Pruebe acceder desde y hacia otros servidores SMB en la red de área local. Notará una enrome diferencia en la 
velocidad de respuesta de las conexiones iniciales entre los diversos sistemas. 
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72. Configuración de autofs. 

Autor: Joel Barrios Duehas 

Correo electrónico: darkshram en gmail punto com 

Sitio de Red: http://www.alcancelibre.org/ 


Creative Commons Reconocimiento-NoComercial-Compartirlgual 2.1 
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72.1. Introducción. 

Uno de los problemas de utilizar el archivo /etc/fstab para acceder hacia las unidades CIFS/SMB o NFS es que 
el sistema debe dedicar valiosos recursos para poder mantener montados éstos, principalmente cuando se 
tienen muchas de este tipo de unidades. Ésto puede repercutir disminuyendo considerablemente su desempeno 
y además congestionar el trafico de red al mantener continuamente todas las conexiones hacia unidades 
CIFS/SMB o NFS. 

Autofs es una alternativa al uso del archivo /etc/fstab. Consiste de un módulo para el núcleo de Linux y de un 
servicio que se ejecuta en el espacio de usuario y que lleva a cabo todas las funciones necesarias. Autofs 
puede realizar sobre demanda el montaje y desmontaje automático de unidades AFS, NFS y CIFS/SMB en el 
sistema de archivos local. De este modo permite reducir el consumo de recursos de sistema y recursos de red. 

El archivo principal de configuración es /etc/auto.master, el cual es utilizado como mapa maestro de todos los 
puntos de montaje a utilizar debajo de /misc o /net. Cada línea en su interior describe un punto de montaje y 
refiere hacia otro archivo que se utiliza como mapa de autofs y que a su vez describe los sistemas de archivos 
que serán montados debajo de un punto de montaje padre (/ misc o bien /net). La descripción completa de 
opciones y formato para el archivo /etc/auto.master se puede consultar ejecutando lo siguiente: 


man 5 auto.master 


Se prefiere que el directorio /misc se utilice sólo para sistemas de archivos locales —como sería el caso de 
unidades ópticas, particiones en unidades de almacenamiento local o unidades extraíbles— y unidades AFS y 
CIFS/SMB. Para las unidades de almacenamiento NFS se prefiere utilizar /net, pues el archivo /etc/auto.net se 
encarga de configurar automáticamente todo lo necesario para automatizar aun más los procedimientos. 

La descripción completa de opciones y formato del archivo /etc/auto.misc y otros archivos utilizados se puede 
consultar ejecutando: 


man 5 autofs 


72.2. Equipamiento lógico necesario. 

72.2.1. En ALDOS, CentOS, Fedora™ y Red Hat™ Enterprise Linux. 

Ejecute lo siguiente para instalar lo necesario: 


yum -y install autofs 


72.2.2. En openSUSE™ y SUSE™ Linux Enterprise. 
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Ejecute lo siguiente para instalar lo necesario: 
yast -i autofs 

72.3. Iniciar servicio y anadir el servicio al inicio del sistema. 

72.3.1. En ALDOS, CentOS, Fedora™ y Red Hat™ Enterprise Linux. 

Para iniciar el servicio por primera vez, ejecute lo siguiente: 
service autofs start 

Para detener el servicio, ejecute lo siguiente: 
service autofs stop 

Para reiniciar el servicio, ejecute lo siguiente: 
service autofs restart 

Ejecute lo siguiente para activar el servicio en todos los niveles de ejecución: 
chkconfig autofs on 

72.3.2. En openSUSE™ y SUSE™ Linux Enterprise. 

Para iniciar el servicio por primera vez, ejecute lo siguiente: 
rcautofs start 

Para detener el servicio, ejecute lo siguiente: 
rcautofs stop 

Para reiniciar el servicio, ejecute lo siguiente: 
rcautofs restart 

Ejecute lo siguiente para activar el servicio en todos los niveles de ejecución: 
insserv autofs 

72.4. Procedimientos. 

Verifique que exista el directorio /misc: 
mkdir -p /misc 
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Verifique que también exista el directorio /net: 
mkdir -p /net 

Edite el archivo /etc/auto.master: 

vi /etc/auto.master 

Verifique que esté descomentada la siguiente línea: 

/misc /etc/auto.misc 

Anada a ésta la opción --timeout con el valor 100 (valor recomendado) para definir el tiempo de caducidad — 
en segundos— de todas las entrada del mapa definidas en el archivo /etc/auto.misc: 

/misc /etc/auto.misc --timeout=100 

Verifique que esté descomentada la siguiente línea: 

/net -hosts 

Guarde el archivo y salga de vi. 

72.4.1. Auto-montaje de unidades NFS. 

Edite el archivo /etc/auto.misc: 


vi /etc/auto.misc 


El siguiente ejemplo corresponde a la configuración de tres hipotéticas unidades NFS compartidas por un 
hipotético servidor 192.168.70.2. Consulte el documento titulado «Configuración de servidor NFS » para la 
información necesaria para configurar un servidor NFS y compartir directorios a través de este servicio. 


respaldo -fstype=nfs,hard,intr,nodev,nosuid 192.168.70.2:/var/respaldo 
wwwroot -fstype=nfs,hard,intr,nodev,nosuid 192.168.70.2:/var/www 

ftproot -fstype=nfs,hard,intr,nodev,nosuid 192.168.70.2:/var/ftp 


La primera columna corresponde al nombre que se desea utilizar debajo del directorio /misc. La segunda 
columna corresponde a las opciones de montaje de las unidades NFS. La tercera columna corresponde a la 
dirección IP del servidor remoto y el directorio compartido por éste. 

Si utiliza ALDOS, CentOS, Fedora™ y Red Flat™ Enterprise Linux, para aplicar los cambios, ejecute lo 
siguiente: 


service autofs restart 


Si utiliza openSUSE™ y SUSE™ Linux Enterprise, para aplicar los cambios, ejecute lo siguiente: 


rcautofs restart 
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Asumiendo un escenario donde existe un servidor con dirección IP 192.168.70.2 que comparte los 
directorios, /var/respaldo, /var/www y /var/ftp, puede verificar el funcionamiento de autofs ejecutando lo 
siguiente: 


ls /misc/respaldo 
ls /misc/wwwroot 
ls /misc/ftproot 


Lo anterior debe devolver como salidas los contenidos de los directorios remotos correspondientes en el 
servidor 192.168.70.2. 

72.4.1.1. Simplificación de montaje de unidades NFS a través del archivo /etc/auto.net. 

Todo lo anterior puede omitirse si se utiliza del directorio /net y el archivo /etc/auto.net. Éste último es 
realmente un guión ejecutable que incluye un programa escrito en BASH y que realiza el montaje automático de 
todos los directorios remotos —a los que se tenga privilegios para acceder— de cualquier servidor NFS. 

En el caso del servidor hipotético descrito arriba, sólo sería necesario ejecutar algo similar a lo siguiente: 


ls /net/192.168.70.2 
ls /net/192.168.70.2/var 


Lo anterior debe de mostrar el o los directorios remotos compartidos por el servidor. En el caso del hipotético 
servidor con dirección IP 192.168.70.2, la salida mostraría un sub-directorio var dentro del directorio /net. 
Debajo de éste se encontrarían los directorios ftp, resplados y www. 

72.4.2. Auto-montaje de unidades CIFS. 

Las unidades CIFS generalmente involucran un usuario y contrasena. Afin de mantener un nivel de seguridad 
adecuado, genere un archivo denominado /etc/credentials ejecutando lo siguiente: 


touch /etc/credentials 


Este archivo debe poder ser utilizado por el usuario root. Asigne un permiso 600 (rwx-) al archivo 

/etc/credentials: 


chmod 600 /etc/credentials 


Edite el archivo /etc/credentials 


vi /etc/credentials 


Ahada la variable username utilizando como valor el nombre del usuario que se utilizará para acceder al 
servidor CUFS deseado y la variable password utilizando como valor la contrasena del usuario definido. 
Ejemplo: 


username=fulano 

password=123qwe 


Edite el archivo /etc/auto.misc: 


vi /etc/auto.misc 


676 










Joel Barrios Duenas 


Configuración de Servidores con GNU/Linux 


El siguiente ejemplo corresponde a la configuración de tres hipotéticas unidades CIFS compartidas por un 
hipotético servidor denominado servidor. Consulte el documento titulado «Cómo configurar Samba básico» 
para la información necesaria para configurar un servidor CIFS/SMB y compartir directorios a través de este 
servicio. 


fulano -fstype=cifs,credentials=/etc/credentials,gid=100,uid=1000 ://servidor/fulano 

publico -fstype=cifs,credentials=/etc/credentials,gid=100,uid=1000 ://servidor/publico 

finanzas -fstype=cifs,credentials=/etc/credentials,gid=100,uid=1000 ://servidor/finanzas 


La primera columna corresponde al nombre que se desea utilizar debajo del directorio /misc. La segunda 
columna corresponde a las opciones de montaje de las unidades NFS. La tercera columna corresponde a la 
dirección del recurso a acceder. 


Si utiliza ALDOS, CentOS, Fedora™ y Red Hat™ Enterprise Linux, para aplicar los cambios, ejecute lo 
siguiente: 

service autofs restart 

Si utiliza openSUSE™ y SUSE™ Linux Enterprise, para aplicar los cambios, ejecute lo siguiente: 
rcautofs restart 


Asumiendo un escenario donde existe un servidor CIFS que comparte los recursos finanzas, fulano y publico, 
puede verificar el funcionamiento de autofs ejecutando lo siguiente: 


ls /misc/fulano 
ls /misc/publico 
ls /misc/finanzas 


Lo anterior debe devolver como salidas los contenidos de los directorios remotos correspondientes en el 
servidor CIFS. 
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73.1. Introducción. 

73.1.1. Acerca de SpamAssassin. 

SpamAssassin es una implementación que utiliza un sistema de puntuación, basado sobre algoritmos de tipo 
genético, para identificar mensajes que pudieran ser sospechosos de ser correo masivo no solicitado, 
anadiendo cabeceras a los mensajes de modo que pueda ser filtrados por el cliente de correo electrónico o 
MUA (Mail User Agent). 

URL: http://spamassassin.apache.org/ 

73.1.2. Acerca de Procmail. 

Procmail es un programa que funciona como MDA (Mail Delivery Agent o Agente de Entrega de Correo) que se 
utiliza para gestionar la entrega de correo local en el sistema. Además de lo anterior, permite también realizar 
filtración automática del correo electrónico, pre-ordenamiento y otras tareas. 

Procmail puede ser utilizado indistintamente con Sendmail o bien Postfix. 

URL: http://www.procmail.org 

73.2. Equipamiento lógico necesario. 

73.2.1. Instalación a través de yum. 

Si dispone de un servidor con CentOS 5 o 6 o bien Red Hat™ Enterprise Linux 5 o 6, ejecute lo siguiente: 


yum -y install spamassassin procmail 


Si se utiliza Sendmail como servidor de correo electrónico, procmail ya debe estar instalado, pues es 
dependencia del paquete sendmail. Si se utiliza Postfix como servidor de correo electrónico, es necesario 
editar el archivo /etc/postfix/main.cf y ahadir o descomentar mailbox„command = /usr/bin/procmail o bien 
simplemente ejecute lo siguiente: 


postconf -e 'mailbox_command = /usr/bin/procmail' 
service postfix restart 
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Si se quiere instalar paquetes adicionales para incrementar las capacidades de filtrado de Spamassassin, se 
pude crear el archivo /etc/yum.repos.d/AL-Server.repo. Si dispone de un servidor con CentOS 5 o 6 o bien 
Red Hat™ Enterprise Linux 5 o 6, puede utilizar el almacén YUM de Alcance Libre para servidores en 
producción, descargando el archivo http://www.alcancelibre.org/al/server/AL-Server.repo dentro del 
directorio /etc/yum.repos.d/: 

cd /etc/yum.repos.d/ 

wget -N http://www.alcancelibre.org/al/server/AL-Server.repo 
cd 


Este archivo, que se guarda como /etc/yum.repos.d/AL-Server.repo, debe tener el siguiente contenido: 


[AL-Server] 

name=AL Server para Enterprise Linux Sreleasever 

mirrorlist=http://www.alcancelibre.org/al/el$releasever/al-server 

gpgcheck=l 

gpgkey=http://www.alcancelibre.org/al/AL-RPM-KEY 


Hecho lo anterior, será posible instalar los paquetes perl-Mail-SPF, perl-Razor-Agent, pyzor, spamassassin- 
FuzzyOcr, popler-utils y re2c: 

yum -y install perl-Mail-SPF perl-Razor-Agent poppler-utils \ 
pyzor re2c spamassassin-FuzzyOcr spamassassin-iXhash2 


73.3. SELinux y el servicio spamasssassin. 

73.3.1. Políticas de SEIinux. 

Afin de que SELinux permita al servicio spamassassin conectarse a servicios externos, como Razor o Pyzor, 
utilice el siguiente mandado: 

setsebool -P spamassassin_can„network 1 

A fin de que SELinux permita a los usuarios del sistema utilizar spamassassin desde sus directorios de inicio, 
ejecute lo siguiente: 


setsebool -P spamd_enable_home_dirs 1 

Nota. 

Lo siguiente sólo aplica para CentOS 5 y Red Hat™ Enterprise Linux 5. 

Si se desea desactivar toda gestión de SELinux sobre el servicio spamassassin, haciendo que todo lo anterior pierda 
sentido y eliminando la protección que brinda esta implementación, ejecute lo siguiente: 


setsebool -P spamd_disable_trans 1 


Esta política es inexistente en CentOS 6 y Red Hat™ Enterprise Linux 6. 


73.3.2. Otros ajustes de SELinux. 

Afin de que SELinux permita a spamassassin afiadir registros a la bitácora del servicio de Razor, es necesario 
generar una nueva política. 
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Genere un nuevo directorio denominado /usr/share/selinux/packages/spamd: 


mkdir /usr/share/selinux/packages/spamd 


Cambiarse al directorio /usr/share/selinux/packages/spamd: 

cd /usr/share/selinux/packages/spamd 


Si se utiliza CentOS 6 o Red Hat Enterprise Linux 6, Descargar el archivo 
http://www.alcancelibre.org/linux/secrets/el6/spamd.te: 

wget http://www.alcancelibre.org/linux/secrets/el6/spamd.te 


Editar el archivo recién descargado: 


vim spamd.te 


Asegurarse que tenga el siguiente contenido: 


module spamd 1.0; 

require { 

type spamc_t; 

type admin_home_t; 

type sendmail_t; 

type spamd_t; 

type root_t; 

class lnk_file read; 

class fifo_file write; 

class file { ioctl read open getattr append }; 

} 

#============= spamd_t ============== 

allow spamd_t root„t:file { ioctl append }; 

allow spamd_t admin_home_t:file { read ioctl open getattr append }; 


#============= spamc_t ============== 

allow spamc_t sendmail_t:fifo_file write; 
allow spamc_t admin_home_t:file { read open }; 


Lo anterior fue obtenido de la salida de dmesg|grep audit|audit2allow -m spamd>spamd.te en un sistema 
donde SELinux impedía a spamassassin realizar escritura sobre la bitácora de Razor. En si, define que se 
permita anadir contenido al archivo /razor-agent.log. 

Si se utiliza CentOS 5 o Red Hat Enterprise Linux 5, Descargar el archivo 
http://www.alcancelibre.org/linux/secrets/el5/spamd.te: 

wget http://www.alcancelibre.org/linux/secrets/el5/spamd.te 


Editar el archivo recién descargado: 

vim spamd.te 


Asegurarse que tenga el siguiente contenido: 
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module spamd 1.0; 

require { 

type spamc_t; 

type sendmail_t; 

type spamd_t; 

type root_t; 

class lnk_file read; 

class fifo„file write; 

class file { ioctl append }; 


#============= spamd_t ============== 

allow spamd_t root_t:file { ioctl append }; 

#============= spamc_t ============== 

allow spamc_t sendmail_t:fifo_file write; 


A continuación, se genera el archivo de módulo para SELinux (spamd.mod) utilizando checkmodule de la 
siguiente forma: 

checkmodule -M -m -o spamd.mod spamd.te 


Luego, se procede a empaquetar el archivo spamd.mod como el archivo spamd.pp: 

semodule_package -o spamd.pp -m spamd.mod 

Finalmente se vincula el archivo spamd.pp obtenido con las políticas actuales de SELinux y se cargan éstas en 
el núcleo en ejecución: 

semodule -i /usr/share/selinux/packages/spamd/spamd.pp 


Una vez cargadas las nuevas políticas, se pueden eliminar los archivos spamd.te y spamd.mod, pues sólo 
será necesario que exista el archivo binario spamd.pp. 

73.4. Procedimientos. 

73.4.1. Iniciar el servicio y anadirlo a los servicios de arranque del sistema. 


chkconfig spamassassin on 
service spamassassin restart 


Cabe senalar, que sólo es necesario utilizar el servicio spamassassin si el servidor de correo electrónico 
dispone de una gran cantidad de usuarios o bien tiene una elevada cantidad de tráfico. Si se dispone de pocos 
usuarios, es posible ejecutar spamassassin a través del archivo /etc/procmailrc o bien -/.procmailrc. 

73.4.2. Configuración de Procmail. 

Hay tres formas de utilizar Procmail para hacer uso de Spamassassin. 

73.4.2.1. Utilizando spamassassin. 
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La forma más simple de utilizar spamassassin es haciendo uso directamente de éste. Funciona bien sólo si se 
tienen pocos usuarios, pues genera una instancia de éste cada vez que se utiliza o llega un mensaje de correo 
electrónico al sistema. La siguiente es la configuración recomendada para el archivo /etc/procmailrc, sí se 
desea que aplique a todos los usuarios del sistema o bien el archivo -/.procmailrc del directorio de inicio de un 
usuario en particular, si sólo se desea que sea utilizado por algunos usuarios: 


: 0fw 

| /usr/bin/spamassassin 

Sí se dispone de muchos usuarios, es más conveniente utilizar spamc, mismo que requiere esté funcionado el 
servicio spamassassin. La siguiente es la configuración recomendada para el archivo /etc/procmailrc, sí se 
desea que aplique a todos los usuarios del sistema o bien el archivo -/.procmailrc del directorio de inicio de un 
usuario en particular, si sólo se desea que sea utilizado por algunos usuarios: 


: 0fw 

| /usr/bin/spamc 


Todo lo anterior hace que el correo electrónico sea examinado y marcado como Spam si alcanza una cantidad 
suficiente de puntos. Si se desea realizar un filtrado enviando el correo calificado como Spam hacia una capeta 
de correo (~/mail/Spam), se puede utilizar lo siguiente: 


: 0fw 

| /usr/bin/spamc 

# Los mensajes marcados como spam se almacenan en carpeta de spam 
: 0 : 

* / 'X-Spam-Status: Yes 
SHOME/mail/Spam 


73.4.3. Configuración del archivo /etc/mail/spamassassin/local.cf. 

Edite el archivo /etc/mail/spamassassin/local.cf. 


vim /etc/mail/spamassassin/local.cf 


Se pueden modificar y anadir parámetros con valores, entre los cuales se pueden configurar los siguientes: 
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required_hits 

Se utiliza para establecer la cantidad de puntos acumulados, y asignados 
por SpamAssassin, en un mensaje para considerar el éste como Spam. 

El valor predeterminado es 5, acepta decimales y se puede ajustar con un 
valor inferior o mayor de acuerdo al criterio del administrador. Ejemplo: 4.5 

report_safe 

Determina si el mensaje, si es calificado como spam, se incluye en un 
adjunto, con el valor 1 o se deja el mensaje tal y como está, con el valor 0. 

El valor predeterminado es 0. 

rewrite_header 

Define con que cadena de caracteres se anadirá al mensaje para 
identificarlo como Spam. El valor predeterminado es [SPAM], y puede 
cambiarse por lo que considere apropiado el administrador. Ejemplo: 

rewrite header Subject [Spam?] 

whitelist_from 

Se utiliza para definir que jamás se considere como Spam los mensajes 
de correo electrónico cuyo remitente sea un dominio o cuenta de correo 
electrónico en particular. Se pueden definir varias líneas. Ejemplo: 

whitelist_from *@midominio.algo 
whitelist_from *@alcancelibre.org 
whitelist_from 201.161.1.226 

whitelist_to 

Si utiliza una lista de correo electrónico (majordomo o mailman), y se 
desea evitar que accidentalmente se considere Spam un mensaje de 
correo electrónico emitido por una de estas listas, se puede definir que 
nunca se considere Spam el correo emitido por dicha lista. Ejemplo: 
whitelist_to mailman-users@algo.algo 

blacklist_from 

Se puede definir que todo el correo electrónico proveniente de un dominio 
o cuenta de correo electrónico en particular siempre sea considerado 
como Spam. Ejemplo: blacklist_from alguien@spammer.com 


Hay una herramienta de configuración de SpamAssassin, que permite generar el archivo 
/etc/mail/spamassassin/local.cf, en http://www.yrex.com/spam/spamconfig.php. 


De primera instancia, ahada al archivo /etc/mail/spamassassin/local.cf sus direcciones IP locales con el 
parámetro whitelist_from. Ejemplo: 


# These values can be overridden by editing ~/.spamassassin/user_prefs.cf 

# (see spamassassin(l) for details) 

# These should be safe assumptions and allow for simple visual sifting 

# without risking lost emails. 

required_hits 5 
report_safe 0 

rewrite_header Subject [SPAM] 

whitelist_from 127.0.0.1 
whitelist_from 192.168.1.91 
whitelist_from 201.161.1.226 


Sí se utiliza spamassassin en el archivo /etc/procmailrc o -/.procmailrc, los cambios surten efecto de 
inmediato. Sí se utiliza spamc, para que surtan efecto los cambios se requiere reiniciar el servicio 

spamassassin: 

service spamassassin restart 


73.5. Consejos para sacarle mejor provecho a Spamassassin utilizando 
sa-learn. 
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Muchos administradores de servidores utilizan Spamassassin para filtrar los mensajes de correo electrónico que 
llegan a sus servidores. Si embargo, son muy pocos los que conocen y utilizan la herramienta sa-learn, incluida 
con Spamassassin, misma que sirve para entrenar y ensenar a identificar spam (o correo chatarra) al propio 

Spamassassin. 

Esencialmente, sa-learn sirve para entrenar al componente clasificador Bayesiano de Spamassassin. 

La forma que sugiero consiste en utilizar el cliente de correo electrónico y mover todos los mensajes que se 
consideren como spam a una carpeta destinada para tal finalidad, como por ejemplo ~/mail/Spam y mover de 
la carpeta de spam todos aquellos mensajes que se consideran como legítimos a cualquier otra carpeta de 
correo o bien el buzón de entrada. 

Acto seguido, se utiliza sa-learn con las opciones -dbpath con /var/lib/spamassassin como argumento para 
indicar el directorio de la base de datos de SpamAssassin, -spam para indicar que se trata de mensajes de 
spam y la opción -mbox para indica que se trata de un buzón de correo en formato mbox, lo cual permitirá 
examinar todos los mensajes contenidos en éste: 


sa-learn --dbpath /var/lib/spamassassin --spam --mbox ~/mail/Spam 


Para que los mensajes que se clasificaron incidentalmente como spam y que fueron movidos a otra carpeta 
(como por ejemplo ~/mail/Mensajes) o bien el buzón de entrada (/var/spool/mail/usuario), se utiliza sa-learn 
con las opciones -dbpath con /var/lib/spamassassin como argumento para indicar el directorio de la base de 
datos de SpamAssassin, -ham para indicar que es correo legítimo y que se debe dejar de considerar éste 
como spam y la opción -mbox para indica que se trata de un buzón de correo en formato mbox, lo cual 
permitirá examinar todos los mensajes contenidos en éste: 

sa-learn --dbpath /var/lib/spamassassin --ham --mbox ~/mail/Mensajes 
sa-learn --dbpath /var/lib/spamassassin --ham --mbox /var/spool/mail/usuario 


De este modo y considerando que se utiliza el archivo -/.promailrc, lo cual sólo aplicaría para el usuario 
utilizado o bien /etc/procmailrc, sí se desea que aplique para todos los usuarios del servidor, contiene algo 
similar a lo siguiente: 


MAILDIR=$HOME/maÌl 

LOGFILE=$HOME/mail/log 

# send mail throuqh spamassassin 
: 0fw 

| /usr/bin/spamassassin 

#Mensjes marcados como spam, ponerlos en carpeta de spam 
: 0: 

* A X-Spam-Status: Yes 
Spam 


Se conseguirá que la mayoría los mensajes de spam similares a los que se movieron a la carpeta 
~/mail/Spam, en adelante serán más fáciles de identificar y filtrar y los mensajes que incidentalmente se 
clasificaron como spam, dejarán de ser clasificados como tales o bien será más difícil que sean clasificados 
como spam. 


Todo lo anterior puede ser utilizado como el usuario root, lo cual haría que los nuevos filtros creados al 
entrenar a Spamassassin apliquen para todos los usuarios o bien como cualquier usuario, lo cual sólo tendrían 
efecto para éste en particular. 


Si alguien tiene interés en aprender más acerca de sa-learn, puede hacerlo consultando desde una terminal de 
texto ejecutando man sa-learn. 

73.6. Incrementando las capacidades de filtrado. 
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A fin de enriquecer la capacidad de detección de spam de Spamassassin, pueden instalarse paquetes 
opcionales como perl-Mail-SPF, perl-Razor-Agent. Los tres brindan capacidades adicionales de filtración de 
spam , descritas más adelante y pueden contribuir de manera significativa a reducir la cantidad de spam que de 
otro modo podría pasar por alto Spamassassin. 

Para los todos los procedimientos descritos a continuación, se considera que en el servidor de correo 
electrónico se utiliza como sistema operativo CentOS 5 y 6 o bien Red Hat Enterprise Linux 5 y 6, se tienen 
instalados los paquetes procmail (requisito del paquete sendmail y opcional para el paquete postfix) y 
spamassassin y que se tiene configurado al menos lo siguiente en el archivo /etc/procmailrc: 


# send mail throuqh spamassassin 
: 0fw 

| /usr/bin/spamc 

# Los mensajes marcados como Spam se almacenan en carpeta ~/mail/Spam 
: 0 : 

# A X-Spam-Status: Yes 
$HOME/mail/Spam 


Primeramente y con la finalidad de actualizar el juego de reglas y filtros de Spamassassin, es conveniente 
ejecutar sa-update de vez en cuando, a lo sumo una o dos veces al mes. Los juegos de reglas y filtros de 
Spamassassin realmente sufren pocos cambios a lo largo del ano y se almacenan en un sub-directorio dentro 
de /var/lib/spamassassin/. Sólo es necesario conservar el sub-directorio con la versión más reciente. Ejecutar 
lo siguiente realizará la consulta y actualización de reglas y filtros de Spamassassin y reiniciará el servicio 
solamente si se descargó una actualización: 

sa-update -v && service spamassassin restart 


La opción -v hace que se muestre una salida que incluye una descripción de los canales actualizados. Si desea 
una salida limpia, sin mensajes descriptivos, ejecute lo siguiente: 

sa-update && service spamassassin restart 


Para instalar el conjunto de paquetes que enriquecerán las capacidades de filtrado de Spamassassin, 
considerando que tiene configurados los almacenes YUM para AL Server de Alcance Libre, ejecute lo siguiente: 

yum -y install perl-Mail-SPF perl-Razor-Agent pyzor 
yum -y install spamassassin-FuzzyOcr poppler-utils 


Si se utilizan paquetes provenientes de otros almacenes YUM distintos a los de Alcance Libre, el complemento 
para Pyzor incluido dentro de Spamassassin requerirá además el paquete perl-Digest-SHA: 

yum -y install perl-Digest-SHA 


A fin de que Spamassassin pueda utilizar los complementos que hacen uso de los complementos que se 
activan con estos componentes, es necesario reiniciar el servicio spamassassin: 

service spamassassin restart 


73.6.1. Optimizando Spamassassin. 

Si se tiene un servidor de correo electrónico con mucha carga de trabajo, conviene optimizar spamasassassin 
compilando las reglas de éste para convertirlas a formato binario. Para tal fin es necesario que esté instalados 
los paquetes re2c y gcc: 
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yum -y install re2c gcc 


Y enseguida se ejecuta sa-compile: 


sa-compile 


Si la sintaxis del archivo /etc/mail/spamassassin/local.cf está correcta, el sistema debe realizar la compilación 
y almacenar los binarios dentro de /var/lib/spamassassin/compiled/. Lo anterior deberá ser repetido cada vez 
que se realicen modificaciones del archivo /etc/mail/spamassassin/local.cf o bien se actualice el conjunto de 
reglas con sa-update. 

73.6.2. ^Por qué Perl-Mail-SPF, Perl-Razor-Agent, Pyzor, Spamassassin-FuzzyOcr y 
poppler-utils? 

73.6.2.1. Perl-Mail-SPF. 

Perl-Mail-SPF Implementa una protección contra la falsificación de direcciones en el envío de correo 
electrónico conocida como SPF (Sender Policy Framework o Convenio de Remitentes). Funciona realizando 
consultas a los servidores DNS en busca del registro TXT para SPF que específica los servidores de correo 
electrónico autorizados para enviar correo electrónico para un dominio en particular. 

Para que un dominio en particular o bien el propio dominio, sea excluido de este tipo de filtración, requiere 
contar con un registro similar al siguiente, lo cual establece que preferentemente se descartan como emisores 
de correo electrónico todos aquellos servidores que carezcan de registro tipo MX o tipo A: 

dominio.com. IN TXT "v=spfl a mx -all" 


O bien, si se quiere algo más estricto, donde se descartan por completo como emisores de correo electrónico 
todos aquellos servidores que carezcan de registro tipo MX o tipo A: 

dominio.com. IN TXT "v=spfl a mx -all" 

73.6.2.2. Perl-Razor-Agent. 

Perl-Razor-Agent es la implementación Perl de Razor, que es una red distribuida y colaborativa dedicada a la 
detección y filtración de spam. Consiste en un catalogo de propagación de spam que es actualizado 
constantemente. Se complementa de manera mutua con Pyzor. 

73.6.2.3. Pyzor. 

Pyzor es similar a Razor y funciona de la misma forma como una red distribuida y colaborativa dedicada a la 
detección y filtración de spam. A diferencia de Perl-Razor-Agent, está escrito en Python. Se complementa de 
manera mutua con Razor. 

73.6.2.4. Spamassassin-FuzzyOcr. 

Suele haber casos en los cuales se envían mensajes de spam que sólo incluyen una imagen incrustada en el 
mensaje, con el fin de evadir los filtros de los servidores de correo electrónico. FuzzyOcr es un complemento 
(j plugin) para Spamassassin el cual está enfocado sobre este tipo de spam. Utiliza GOCR (GNU Optical 
Character Recognition o Reconocimiento Óptico de Caracteres de GNU) y otros métodos para analizar el 
contenido de las imágenes y poder distinguir entre correo ordinario y correo spam. 
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73.6.2.5. Spamassassin-iXhash2 

Es una versión mejorada del obsoleto complemento de filtrado para Spamassassin conocido como iXhash. A 
diferencia de éste último, tiene capacidades de consultas a DNS tipo asincrónicas con el fin de mejorar el 
desempeno del servidor de correo y elimina algunas funciones innecesarias. Es completamente compatible con 
la implementación de iXhash 1.5.5. Al igual que DCC, Pyzor y Razor, realiza el cálculo de sumas MD5 de 
fragmentos del cuerpo de los mensajes de correo electrónico y los compara con aquellos que se sabe bien son 
spam, utilizando consultas de DNS hacia un servidor de nombres de dominio estilo RBL. 

73.6.2.6. Poppler-utils. 

Este conjunto de herramientas es utilizado por Spamassassin para gestionar los contenidos de los documentos 
en formato PDF, particularmente las herramientas como pdftops, pstopnm y pdfinfo. Es altamente 
recomendado instalarlo. 
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74. Configuración simple para Antivirus y Antispam. 

Autor: Joel Barrios Duehas 

Correo electrónico: darkshram en gmail punto com 

Sitio de Red: http://www.alcancelibre.org/ 


Creative Commons Reconocimiento-NoComercial-Compartirlgual 2.1 


© 1999-2016 Joel Barrios Duenas. Usted es libre de copiar, distribuir y comunicar públicamente la obra y hacer obras derivadas bajo las condiciones siguientes: a) 
Debe reconocer y citar al autor original. b) No puede utilizar esta obra para fines comerciales. c) Si altera o transforma esta obra o genera una obra derivada, sólo 
puede distribuir la obra generada bajo una licencia idéntica a ésta. Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. 
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74.1. Equipamiento lógico necesario. 


Si utiliza ALDOS, éste ya dispone de la configuración necesaria para instalar todos los paquetes necesarios. Si 
dispone de un servidor con CentOS o Red Hat™ Enterprise Linux, puede utilizar el almacén YUM de Alcance 
Libre para servidores en producción, descargando el archivo http://www.alcancelibre.org/al/server/AL- 
Server.repo dentro del directorio /etc/yum.repos.d/: 


wget -N http://www.alcancelibre.org/al/server/AL-Server.repo \ 
-0 /etc/yum.repos.d/AL-Server.repo 


Asumiendo que tiene configurados los almacenes YUM de Alcance Libre, instale los paquetes spamassassin, 
clamav y clamav-update. 


yum -y install spamassassin clamav clamav-update 


74.2. Procedimientos 

74.2.1. Políticas de Selinux. 

Active las siguientes políticas de SELinux: 


setsebool -P antivirus_use_jit 1 
setsebool -P antivirus_can_scan_system 1 
setsebool -P spamassassin_can„network 1 
setsebool -P spamd_enable_home_dirs 1 


La política antivirus_usejit permite a ClamAV utilizar el compilador JIT basado sobre LLVM (Low Level 
Virtual Machine), el cual es utilizado para extender las capacidades de detección de virus al compilar Bytecode. 

La política antivirus_can_scan_system permite a ClamAV poder realizar la verificación todo lo que se 
encuentre en el sistema de archivos. 

La política spamassassin_can_network permite a Spamassassin conectarse a las bases de datos de Spam 
en Internet. 

La política spamd_enable_home_dirs permite a Spamassassin leer y escribir dentro de los directorios de 
inicio de los usuarios locales. 

74.2.2. Actualizar base de datos de ClamAV. 
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Actualice la base de datos del antivirus ClamAV ejecutando lo siguiente: 


freshclam 


74.2.3. Actualizar el conjunto de reglas de Spamassassin. 

Actualice el conjunto de reglas de Spamassassin ejecutando lo siguiente: 

sa-update -v 

Lo anterior deberá indicar qué componentes de Spamassassin fueron actualizados. 



Para optimizar y extender el funcionamiento de Spamassassin, estudie el documento titulado «Cómo instalar y 
configurar Spamassassin » 


74.2.4. Configuración para poca carga de trabajo. 

Utilizando el mandato touch, genere el archivo /etc/procmailrc: 

touch /etc/procmailrc 

Edite el archivo /etc/procmailrc: 

vim /etc/procmailrc 


Ahada el siguiente contenido: 


SHELL=/bin/sh 

# Si desea almacenar toda la información de actividad 

# de Procmail en una bitácora, descomente lo siguiente. 
#LOGFILE=/var/log/procmail.log 

# Configuración basada sobre http://bulma.net/body. phtml?nIdNoticia=1978 

# y adecuada y actualizada, por Joel Barrios Duehas. 
AV_REPORT='/usr/bin/clamscan --stdout --no-summary - | cut -d: -f 2' 

VIRUS='if [ "$AV_REPORT" != " 0K" ]; then echo Yes; else echo No;fi' 

# Anade el campo de reporte ClamAV. 

: 0fw 

| formail -i "X-Virus: $VIRUS" 

# Si el mensaje es positivo a virus, se cambia el asunto. 

: 0fw 

# A X-Virus: Yes 

| formail -i "Virus: $AV_REPORT" -i "Subject: MENSAJE CON VIRUS: $AV_REPORT" 

# Hacer pasar todo el correo electrónico a través de spamassassin 
: 0fw 

| /usr/bin/spamassassin 


Con lo anterior, en adelante todo el correo será examinado primero por ClamAV y Spamassassin y clasificado 
antes de ser entregado al usuario. Es innecesario reiniciar el servicio sendmail o servicio alguno. Esta solución 
es perfecta para servidores de correo electrónico con poco carga de trabajo. 

74.2.5. Configuración para mucha carga de trabajo. 
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Si se tiene un servidor de correo electrónico con mucha carga de trabajo, instale el paquete clamav-scanner- 
sysvinit: 

yum -y install clamav-scanner-sysvinit 
Inicie el servicio clamd.scan ejecutando lo siguiente: 
service clamd.scan start 

Inicie el servicio spamassassin ejecutando lo siguiente. 

service spamassassin start 


Ahada los servicios clamd.scan y spamassassin al inicio del sistema: 


chkconfig clamd.scan on 
chkconfig spamassassin on 


El siguiente paso es muy importante. Omitirlo o equivocarse al realizar éste significará que todo el correo sea 
considerado como infectado por Virus. Copie el archivo /etc/clamd.d/scan.conf como el archivo 

/etc/clamd.conf: 


cp /etc/clamd.d/scan.conf /etc/clamd.conf 


74.2.5.1. Filtración sólo con modificación de títulos de mensaje. 

En caso de que éste fuese inexistente, utilice el mandato touch para crear el archivo /etc/procmailrc: 


touch /etc/procmailrc 


Edite el archivo /etc/procmailrc: 


vim /etc/procmailrc 


Anada el siguiente contenido, que en relación al ejemplo mencionado arriba —configuración para poca carga de 
trabajo— se cambian /usr/bin/clamscan por /usr/bin/clamdscan y /usr/bin/spamassassin por 
/usr/bin/spamc: 
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SHELL=/bin/sh 

# Si desea almacenar toda la información de actividad 

# de Procmail en una bitácora, des-comente lo siguiente. 
#LOGFILE=/var/log/procmail.log 

# Configuración basada sobre http://bulma.net/body. phtml?nIdNoticia=1978 

# y adecuada y actualizada, por Joel Barrios Duenas. 
AV_REPORT='/usr/bin/clamdscan --stdout --no-summary - [ cut -d: -f 2' 

VIRUS='if [ "$AV„REPORT" != " 0K" ]; then echo Yes; else echo No;fi' 

# Anade el campo de reporte ClamAV. 

: 0fw 

| formail -i "X-Virus: $VIRUS" 

# Si el mensaje es positivo a virus, se cambia el asunto. 

: 0fw 

# A X-Virus: Yes 

| formail -i "Virus: $AV„REPORT" -i "Subject: MENSAJE CON VIRUS: $AV„REPORT" 

# Hacer pasar todo el correo electrónico a través de spamassassin 
: 0fw 

| /usr/bin/spamc 


Con lo anterior, tendrá una solución aceptable, barata, confiable, rápida y sencilla, para servidores de correo 
electrónico con mucha carga de trabajo. 

74.2.5.2. Filtración con modificación de títulos de mensaje y mover automáticamente a una 
carpeta. 

Si, además, necesita que todos los mensajes de Spam y los mensajes infectados con virus sean movidos 
automáticamente a la carpeta de correo ~/mail/Junk. 

Descargue la plantilla del archivo /etc/procmailrc desdeAlcanceLibre.org, con el contenido anterior. 


wget http://www.alcancelibre.org/linux/secrets/procmailrc \ 
-0 /etc/procmailrc 


Edite el archivo /etc/procmailrc: 

vim /etc/procmailrc 


Verifique que esté presente la siguiente configuración y realice los cambios que considere pertinentes: 
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SHELL=/bin/sh 

# Si desea almacenar toda la información de actividad 

# de Procmail en una bitácora, descomente lo siguiente. 
#LOGFILE=/var/log/procmail.log 

# Configuración basada sobre http://bulma.net/body. phtml?nIdNoticia=1978 

# y adecuada y actualizada, por Joel Barrios Duenas. 
AV_REPORT='/usr/bin/clamdscan --stdout --no-summary - | cut -d: -f 2' 

VIRUS='if [ "$AV„REPORT" != " 0K" ]; then echo Yes; else echo No;fi' 

# Anade el campo de reporte ClamAV. 

: 0fw 

| formail -i "X-Virus: $VIRUS" 

# Si el mensaje es positivo a virus, se cambia el asunto. 

: 0fw 

# A X-Virus: Yes 

| formail -i "Virus: $AV„REPORT" -i "Subject: MENSAJE CON VIRUS: $AV„REPORT" 

# Si el mensaje es positivo a virus, se almacena en $HOME/mail/Junk 
: 0 : 

# A X-Virus: Yes 

$HOME/mail/Junk 

# Si lo desea, puede enviar los mensajes infectados a /dev/null. 

# Hacer pasar todo el correo electrónico a través de spamassassin 
: 0fw 

| /usr/bin/spamc 

# Los mensajes marcados como spam, se almacenan en $HOME/mail/Junk 
: 0: 

# A X-Spam-Status: Yes 
$HOME/mail/Junk 


74.2.6. Ajustes posteriores a las cuentas de usuario. 

Afin de que todo lo anterior funcione correctamente, es imprescindible que los usuarios generen y se suscriban 
con antelación a la carpeta IMAP $HOME/mail/Junk. Es importante mencionar que con el primer mensaje que 
sea procesado, la carpeta IMAP $HOME/mail/Junk será propiedad de root, con permiso de sólo lectura para 
root, salvo que haya sido creada y suscrita previamente por el usuario. 


Para automatizar lo anterior para las cuentas de usuario que sean creadas en lo subsecuente, ejecute lo 
siguiente para que /etc/skel incluya el archivo ~/mail/Junk y para que la carpeta IMAP correspondiente esté 
suscrita de modo predeterminado. 


mkdir -m 700 /etc/skel/mail 

touch /etc/skel/mail/Junk 

chmod 600 /etc/skel/mail/Junk 

echo "Junk" > /etc/skel/mail/.subscriptions 

chmod 600 /etc/skel/mail/.subscriptions 


Si desea ahorrarse trabajo y explicaciones a los usuarios existentes, puede ejecutar lo siguiente: 


cd /home 

for user in * 

do 

mkdir -m 700 $user/mail 

touch $user/mail/Junk 

chmod 600 $user/mail/Junk 

echo "Junk" » $user/mail/.subscriptions 

chmod 600 $user/mail/.subscriptions 

chown -R $user:$user $user/mail/ 

done 

cd - 


692 





Joel Barrios Duenas 


Configuración de Servidores con GNU/Linux 


74.3. Lecturas posteriores. 

Si tiene interés en mejorar y optimizar, el filtrado de spam, consulte el documento titulado «Cómo instalar y 
configurar Spamassassin » 
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75. Introducción a los protocolos de correo 
electrónico. 


Autor: Joel Barrios Duerías 

Correo electrónico: darkshram en gmail punto com 

Sitio de Red: http://www.alcancelibre.org/ 
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75.1. Introducción. 

75.1.1. Preparativos. 

A fin de poder realizar todas las pruebas correspondientes a cada protocolo, instale los paquetes telnet, 
dovecot y postfix o bien sendmail. 

Ejecute lo siguiente si elige utilizar sendmail: 

yum -y install mailx telnet dovecot sendmail 


Ejecute lo siguiente si elige utilizar postfix: 


yum -y install mailx telnet dovecot postfix 


Omita el siguiente paso si utiliza CentOS 5 o Red Hat Enterprise Linux 5 

Edite el archivo /etc/dovecot/conf.d/lO-mail.conf si utiliza ALDOS 1.4, CentOS 6 o Red Hat™ Enterprise 

Linux 6 y versiones posteriores de éstos: 


vim /etc/dovecot/conf.d/10-mail.conf 


Alrededor de la línea 30 del archivo /etc/dovecot/conf.d/lO-mail.conf, establezca 
mbox:~/mail:INBOX=/var/mail/%u como valor de la opción mailjocation. 


# See doc/wiki/Variables.txt for full list. Some examples: 

# 

# mail_location = maildir:-/Maildir 

# mail location = mbox:~/mail:INBOX=/var/mail/%u 

# mail_location = mbox:/var/mail/%d/%ln/%n:INDEX=/var/indexes/%d/%ln/%n 

# 

# <doc/wiki/MailLocation.txt> 

# 

mail_location = mbox:~/mail:INBOX=/var/mail/%u 


Si se va a utilizar Sendmail como MTA predeterminado, es importante definir un grupo de acceso de correo en 
la configuración de Dovecot. 

Alrededor de la línea 115 del archivo /etc/dovecot/conf.d/lO-mail.conf, localice la opción 
mail_privileged_group, descomente ésta y defina como valor el grupo mail: 
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# Group to enable temporarily for privileged operations. Currently this is 

# used only with INBOX when either its initial creation or dotlocking fails. 

# Typically this is set to "mail" to give access to /var/mail. 
mail_privileged_group = mail 


Alrededor de la línea 122 del archivo /etc/dovecot/conf.d/lO-mail.conf, localice la opción 
mail_access_groups, descomente ésta y defina también como valor el grupo mail: 


# Grant access to these supplementary groups for mail processes. Typically 

# these are used to set up access to shared mailboxes. Note that it may be 

# dangerous to set these if users can create symlinks (e.g. if "mail" group is 

# set here, ln -s /var/mail ~/mail/var could allow a user to delete others' 

# mailboxes, or ln -s /secret/shared/box ~/mail/mybox would allow reading it). 
mail_access_groups = mail 


Se requiere que los usuarios locales pertenezcan al grupo mail para que lo anterior represente un problema de 
seguridad. 



Es importante senalar Postfix crea automáticamente los buzones de entrada con permiso 0600 (-rw.-) y por tanto 

impide utilizar buzones de entrada compartidos, mientras que Sendmail lo hace con permiso 0660 (-rw-rw—-) y por tanto 
permite utilizar buzones de entrada compartidos. En ambos casos los permisos predeterminados de los buzones de 
entrada sólo se pueden cambiar modificando y compilando de nuevo el código fuente. 


Si se utiliza Sendmail como MTApredeterminado, debido al permiso 0660 con el que son creados los buzones de 
entrada, a Dovecot le será imposible generar automáticamente las carpetas e índices IMAP, pues éste fallará al copiar el 
grupo al que pertenece el buzón de entrada cuando éste tiene permisos de lecturay escritura para grupo. Por lo tanto se 
obtendrían continuamente los siguientes errores en la bitácora /var/log/maillog: 


Nar 21 22:31:45 mail dovecot: pop3(fulano): Error: mkdir(/home/fulano/mail/.imap/INBOX) failed: 
Operation not permitted 

Nar 21 22:31:45 mail dovecot: pop3(fulano): Error: Couldn't open INB0X: Internal error occurred. Refer 
to server log for more information. [2013-03-21 22:31:45] 

Mar 21 22:31:45 mail dovecot: pop3(fulano): Couldn't open INB0X top=0/0, retr=0/0, del=0/0, size=0 


Es por ésto que, en el caso de utilizar Sendmail como MTA predeterminado, se requiere configurar que Dovecot tenga 
privilegios de acceso sobre el grupo mail. De otro modo el administrador del sistema estaría obligado a crear 
manualmente los directorios ~/mail/.imap/INBOX de todos los usuarios locales o cambiar manualmente los permisos de 
todos los buzones de entrada de 0660 a 0600 y repetir cualquiera de las dos operaciones cada vez que se genere un 
nuevo usuario. 


Si se utiliza Postfix como MTA predeterminado, es innecesario definir valor alguno en las opciones 
mail_privileged_group y mail_access_groups pues los buzones de entrada se crean con permiso 0600 y por tanto 
carecen de permisos de íectura y escritura para grupo. 


Guarde el archivo y salga del editor de texto. 
Inicie y active el servicio dovecot ejecutando: 


service dovecot start 
chkconfig dovecot on 


Establezca sendmail o postfix, como agente de transporte de correo (MTA, Mail Transport Agent) 
predeterminado del sistema, utilizando el mandato alternatives, del siguiente modo: 

alternatives --config mta 

Lo anterior devolverá una salida similar a la siguiente, donde deberá elegir entre postfix y sendmail como MTA 
predeterminado del sistema: 
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Hay 2 programas que proporcionan 'mta'. 

Selección Comando 

1 /usr/sbin/sendmail.postfix 

*+ 2 /usr/sbin/sendmail.sendmail 

Presione Intro para mantener la selección actual[+] o escriba el número de la selección: 2 


Si eligió utilizar sendmail en lugar de postfix, detenga este último —MTA predeterminado en CentOS 6 y Red 
Hat Enterprise Linux 6 y versiones posteriores de éstos— e inicie el servicio sendmail: 


service postfix stop 
chkconfig postfix off 
service sendmail start 
chkconfig sendmail on 


Si eligió utilizar postfix en lugar de sendmail, detenga este último> —MTA predeterminado en CentOS 5 y Red 
Hat Enterprise Linux 5 — e inicie el servicio postfix: 


service sendmail stop 
chkconfig sendmail off 
service postfix start 
chkconfig postfix on 


En todo momento podrá conmutar de nuevo entre Sendmail o Postfix, como MTA predeterminado del sistema, 
utilizando este mismo procedimiento. 

75.1.2. Protocolos utilizados. 

75.1.2.1. SMTP (Simple Mail Transfer Protocol). 

Es un protocolo estándar de Internet del Nivel de Aplicación utilizado para la transmisión de correo 
electrónico a través de una conexión TCP/IP. Es el único protocolo utilizado para la transmisión de correo 
electrónico a través de Internet. Está basado sobre texto simple y es relativamente sencillo. A lo largo de los 
anos han sido muchas las personas que han editado o contribuido a las especificaciones de SMTP, entre las 
cuales están Jon Postel, Eric Allman, Dave Crocker, Ned Freed, Randall Gellens, John Klensin y Keith Moore. 

Para determinar el servidor SMTP para un dominio dado, se utilizan los registros MX (Mail Exchanger) en la 
Zona de Autoridad correspondiente al ese mismo dominio contestado por un Servidor DNS. Después de 
establecerse una conexión entre el remitente (el cliente) y el destinatario (el servidor), se inicia una sesión 
SMTP, ejemplificada a continuación y dónde el escenario asume que existe una cuenta de usuario regular 
denominada «fulano» y dónde se utilizará el dominio predeterminado del anfitrión local. 
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Cliente: 

$ telnet 127.0.0.1 25 

Servidor: 

Connected to 127.0.0.1. 


Escape character is ,A ] 1 . 

220 nombre.dominio ESMTP Sendmail 8.13.1/8.13.1; Sat, 18 Mar 2006 16:02:27 -0600 

Cliente: 

HELO localhost.localdomain 

Servidor: 

250 nombre.dominio Hello localhost.localdomain [127.0.0.1], pleased to meet you 

Cliente: 

MAIL FROM:<fulano@localhost.localdomain> 

Servidor: 

250 2.1.0 <fulano@localhost.localdomain>... Sender ok 

Cliente: 

RCPT TO : <fulano@localhost.localdomain> 

Servidor: 

250 2.1.5 <fulano@localhost.localdomain>... Recipient ok 

Cliente: 

DATA 

Servidor: 

354 Enter mail, end with on a line by itself 

Cliente: 

Subject: Mensaje de prueba 

From : fulano@localhost.localdomain 

To: fulano@localhost.localdomain 


Hola. Éste es un mensaje de prueba. 

Adios. 

Servidor: 

250 2.0.0 k2IM2RjA003987 Message accepted for delivery 

Cliente: 

QUIT 

Servidor: 

221 2.0.0 nombre.dominio closing connection 

Servidor: 

Connection closed by foreign host. 


La descripción completa del protocolo original STMP está definida en el RFC 821, aunque el protocolo utilizado 
hoy en día, también conocido como ESMTP (Extended Simple Mail Transfer Protocol), está definido en el RFC 
2821. SMTP trabaja sobre TCP en el puerto 25. 

75.1.2.2. POP3 (Post Office Protocol version 3). 

Es un protocolo estándar de Internet del Nivel de Aplicación que recupera el correo electrónico desde un 
servidor remoto a través de una conexión TCP/IP iniciada desde un cliente local. El diserío de POP3 y sus 
predecesores permite a los usuarios recuperar el correo electrónico mientras están conectados en una red y 
manipular los mensajes recuperados sin necesidad de permanecer conectados. A pesar de que muchos clientes 
de correo electrónico incluyen soporte para dejar el correo en el servidor, todos los clientes de POP3 recuperan 
todos los mensajes y los almacenan como mensajes nuevos en la computadora o anfitrión utilizado por el 
usuario, eliminan los mensajes en el servidor y terminan la conexión. 


Después de establecerse una conexión entre el cliente y el servidor, se inicia una sesión POP3, ejemplificada a 
continuación. 
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Cliente: 
Servidor: 


Cliente: 
Servidor: 

Cliente: 
Servidor: 

Cliente: 
Servidor: 

Cliente: 
Servidor: 


Cliente: 
Servidor: 


Cliente: 
Servidor: 


$ telnet 127.0.0.1 110 

Connected to 127.0.0.1. 

Escape character is ' / '] 1 . 

+0K dovecot ready. 

USER fulano 

+0K 

PASS contrasena 
+0K Logged in. 

STAT 

+0K 1 728 

LIST 

+0K 1 messages: 

1 728 

RETR 1 

+0K 728 octets 

Return-Path: <fulano@localhost.localdomain> 

Received: from localhost.localdomain (localhost.localdomain [192.168.1.254]) 
by localhost.localdomain (8.13.1/8.13.1) with SMTP id k2IM2RjA003987 
for <fulano@localhost.localdomain>; Sat, 18 Mar 2006 16:03:21 -0600 
Date: Sat, 18 Mar 2006 16:02:27 -0600 

Message-Id: <200603182203.k2IM2RjA003987@localhost.localdomain> 

Subject: Mensaje de prueba 
F rom: fulano@localhost.localdomain 
To: fulano@localhost.localdomain 
Status: 0 

Content-Length: 43 
Lines: 2 
X-UID: 202 
X-Keywords: 

Hola. Éste es un mensaje de prueba. 

Adios. 

QUIT 

+0K Logging out. 

Connection closed by foreign host. 


POP3 está definido en el RFC 1939. POP3 trabaja sobre TCP en el puerto 110. 

75.1.2.3. IMAP (Internet Message Access Protocol). 

Es un protocolo estándar de Internet del Nivel de Aplicación utilizado para acceder hacia el correo 
electrónico almacenado en un servidor remoto a través de una conexión TCP/IP iniciada desde un cliente local. 


La versión más reciente de IMAP es la 4 revisión 1 y está definida en el RFC 3501. IMAP trabaja sobre TCP en 
el puerto 143. 

Fue disehado por Mark Crispin en 1986 como una alternativa más moderna que resolviera las deficiencias del 
protocolo POP3. Las características más importantes de IMAP incluyen: 

• Soporte para los modos de operación conectado (connected) y desconectado (disconnected), 
permitiendo a los clientes de correo electrónico permanezcan conectados el mismo tiempo que 
su interfaz permanezca activa, descargando los mensaje, por partes o completos según se 
requiera. 

• A diferencia de POP3, permite accesos simultáneos desde múltiples clientes y proporciona los 
mecanismos necesarios para que éstos detecten los cambios hechos por otro cliente de correo 
electrónico que esté conectado de manera concurrente al mismo buzón de correo. 

• Permite a los clientes obtener individualmente cualquier parte MIME —acrónimo de Multi-Purpose 
Internet Mail Extensions o Extensiones de correo de Internet de propósitos múltiples—, así como 
también obtener porciones de las partes individuales o bien los mensajes completos. 
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• Permite vigilar la información de estado de los mensajes de correo electrónico que se mantengan 
en el servidor a través de banderas definidas en el protocolo. Por ejemplo, si el estado del 
mensaje es leído, no leído, respondido o eliminado. 

• Incluye soporte para múltiples buzones de correo electrónico, permitiendo crear, renombrar o 
eliminar mensajes de correo electrónico presentes en el servidor dentro de carpetas y mover 
éstos mensajes entre distintas cuentas de correo electrónico. Esta característica también permite 
al servidor proporcionar acceso hacia carpetas públicas y compartidas. 

• Incluye soporte para realizar búsquedas del lado del servidor a través de mecanismos que 
permiten obtener resultados de acuerdo a varios criterios, permitiendo evitar que los clientes de 
correo electrónico tengan que descargar todos los mensajes desde el servidor. 

• Las especificaciones del protocolo IMAP definen un mecanismo explícito mediante el cual puede 
ser mejorada su funcionalidad a través de extensiones. Un ejemplo es la extensión IMAP IDLE, la 
cual permite sincronizar ente el servidor y el cliente a través de avisos. 


Después de establecerse una conexión entre el cliente y el servidor, se inicia una sesión IMAP, ejemplificada a 
continuación. 


Cliente: 
Servidor: 


Cliente: 
Servidor: 

Cliente: 
Servidor: 


Cliente: 
Servidor: 


Cliente: 
Servidor: 


Cliente: 
Servidor: 


$ telnet 127.0.0.1 143 

Connected to 127.0.0.1. 

Escape character is 

* 0K dovecot ready. 

+0K dovecot ready. 

x LOGIN fulano contrasena 
x 0K Logged in. 
x SELECT inbox 

* FLAGS (\Answered \Flagged \Deleted \Seen \Draft) 

* 0K [PERMANENTFLAGS (\Answered \Flagged \Deleted \Seen \Draft \*)] Flags permitted. 

* 1 EXISTS 

* 0 RECENT 

* 0K [UNSEEN 1] First unseen. 

* 0K [UIDVALIDITY 1100569382] UIDs valid 

* 0K [UIDNEXT 203] Predicted next UID 
x 0K [READ-WRITE] Select completed. 

x FETCH 1 (flags body[header.fields (subject)]) 

* 1 FETCH (FLAGS (\Seen) B0DY[HEADER.FIELDS (SUBJECT)] {30} 

Subject: Mensaje de prueba 

) 

x 0K Fetch completed. 

x FETCH 1 (body[text]) 

* 1 FETCH (B0DY[TEXT] {45} 

Hola. Éste es un mensaje de prueba. 

Adios. 

) 

x 0K Fetch completed. 

x L0G0UT 

* BYE Logging out 

x 0K Logout completed. 

Connection closed by foreign host. 


75.2. Referencias. 


h tt p: //www. i etf. o rg/rf c/rf c2222.txt 

http://www.ietf.org/rfc/rfc821.txt 

http://www.ietf.org/rfc/rfc2821.txt 

http://www.ietf.org/rfc/rfcl939.txt 

http://www.ietf.org/rfc/rfc3501.txt 
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76. Configuración básica de Sendmail con soporte 
SSL/TLS. 


Autor: Joel Barrios Duehas 

Correo electrónico: darkshram en gmail punto com 

Sitio de Red: http://www.alcancelibre.org/ 


Creative Commons Reconocimiento-NoComercial-Compartirlgual 2.1 


© 1999-2016 Joel Barrios Duenas. Usted es libre de copiar, distribuir y comunicar públicamente la obra y hacer obras derivadas bajo las condiciones siguientes: a) 
Debe reconocer y citar al autor original. b) No puede utilizar esta obra para fines comerciales. c) Si altera o transforma esta obra o genera una obra derivada, sólo 
puede distribuir la obra generada bajo una licencia idéntica a ésta. Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. 
Alguna de estas condiciones puede no aplicarse si se obtiene el permiso del titular de los derechos de autor. Los derechos derivados de usos legítimos u otras 
limitaciones no se ven afectados por lo anterior. La información contenida en este documento y los derivados de éste se proporcionan tal cual son y los autores no 
asumirán responsabilidad alguna si el usuario o lector hace mal uso de éstos. 


76.1. Introducción. 

Es imprescindible primero estudiar y comprender los conceptos descritos en el documento titulado 

«Introducción a los protocolos de correo electrónico.» 

76.1.1. Acerca de Sendmail. 

Es uno de los más populares agentes de transporte de correo electrónico (MTAo Mail Transport Agent). Es un 
proyecto derivado delivermail y fue dirigido originalmente por Eric Allman a principios de la década de 1980. 
Aunque por largo tiempo se le ha criticado por muchos incidentes de seguridad, lo cierto es que éstos siempre 
han sido resueltos en tiempos razonables. 

URL: http://www.sendmail.org/. 

76.1.2. Acerca de SASL y Cyrus SASL. 

SASL (Simple Authentication and Security Layer) es una implementación disenada para la seguridad de datos 
en protocolos de Internet. Desempareja los mecanismos de la autenticación desde protocolos de aplicaciones, 
permitiendo, en teoría, cualquier mecanismo de autenticación soportado por SASL, para ser utilizado en 
cualquier protocolo de aplicación que sea capaz de utilizar SASL. En la actualidad SASL es un protocolo de 
IETF (Internet Engineering Task Force) que ha sido propuesto como estándar. Está especificado en el RFC 
2222 creado por John Meyers en la Universidad Carnegie Mellon. 

Cyrus SASL es una implementación de SASL que puede ser utilizada del lado del servidor o bien del lado del 
cliente y que incluye como principales mecanismos de autenticación soportados a ANONYMOUS, CRAM-MD5, 
DIGEST-MD5, GSSAPI y PLAIN. El código fuente incluye también soporte para los mecanismos LOGIN, SRP, 
NTLM, OPT y KERBEROS_V4. 

URL: http://asg.web.cmu.edu/sasl/sasl-library.html. 

76.1.3. Acerca de DSA. 

DSA (Digital Signature Algorithm o Algoritmo de Firma digital) es un algoritmo creado por el NIST (National 
Institute of Standards and Technology o Instituto Nacional de Normas y Tecnología de EE.UU.), publicado el 30 
de agosto de 1991, como propuesta para el proceso de firmas digitales. Se utiliza para firmar información, más 
no para cifrar ésta. 

URL: http://es.wikipedia.org/wiki/DSA 
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76.1.4. Acerca de RSA. 

RSA, acrónimo de los apellidos de sus autores, Ron Rivest, Adi Shamir y Len Adleman, es un algoritmo para el 
ciframiento de claves públicas que fue publicado en 1977, patentado en EE.UU. en 1983 por el Instituto 
Tecnológico de Michigan (MIT). RSA es utilizado ampliamente en todo el mundo para los protocolos destinados 
para el comercio electrónico. 

URL: http://es.wikipedia.org/wiki/RSA 

76.1.5. Acerca de X.509. 

X.509 es un estándar ITU-T (estandarización de Telecomunicaciones de la International Telecommunication 
Union ) para infraestructura de claves públicas (PKI o Public Key Infrastructure). Establece los estándares para 
certificados de claves públicas y un algoritmo para validación de ruta de certificación. Este último se encarga de 
verificar que la ruta de un certificado sea válida bajo una infraestructura de clave pública determinada. Es decir, 
desde el certificado inicial —pasando por certificados intermedios— hasta el certificado de confianza emitido por 
unaAutoridad Certificadora (CA o Certification Authority). 

URL: http://es.wikipedia.Org/wiki/X.509 

76.1.6. Acerca de OpenSSL. 

OpenSSL es una implementación libre de código fuente abierto, de los protocolos SSL (Secure Sockets Layer 
o Nivel de Zócalo Seguro) y TLS (Transport Layer Security o Seguridad para Nivel de Transporte). Está basado 
sobre el extinto proyecto SSLeay iniciado por Eric Young y Tim Hudson. 

URL: http://www.openssl.org/ 

76.2. Equipamiento lógico necesario. 

76.2.1. Instalación a través de yum. 

Si se utiliza de CentOS o Red Hat™ Enterprise Linux ejecute lo siguiente: 


yum -y install sendmail sendmail-cf m4 make \ 
cyrus-sasl cyrus-sasl-plain 


76.3. Procedimientos. 

76.3.1. Definiendo Sendmail como agente de transporte de correo predeterminado. 

Ejecute alternatives con la opción --config y el valor mta: 

alternatives --config mta 

Lo anterior devolverá una salida similar a la siguiente, donde deberá elegir entre postfix y sendmail como MTA 
predeterminado del sistema: 
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Hay 2 programas que proporcionan 'mta'. 

Selección Comando 

1 /usr/sbin/sendmail.postfix 

*+ 2 /usr/sbin/sendmail.sendmail 

Presione Intro para mantener la selección actual[+] o bien escriba el número de la selección: 2 


Defina Sendmail como agente de transporte de correo (MTA, Mail Transport Agent), seleccionado éste 


Si estuviera presente postfix, desactive y detenga éste y active e inicie el servicio sendmail: 


service postfix stop 
chkconfig postfix off 
service sendmail start 
chkconfig sendmail on 


76.3.2. Certificado SSL/TLS. 

Es importante generar un certificado SSL/TLS personalizado. 

Elimine el certificado de prueba que está asociado al nombre de anfitrión localhost. 


rm -f /etc/pki/tls/certs/sendmail.pem 


La creación de la firma digital y certificado —en un único archivo con extensión *.pem— requiere utilizar una 
firma con algoritmo RSA de 4096 octetos (bits), estructura X.509 y sin DES. En el siguiente ejemplo, se 
establece una validez por 1825 días (cinco anos) para el certificado creado: 


openssl req -sha256 -new -x509 -nodes -newkey rsa:4096 -days 1825 \ 
-out /etc/pki/tls/certs/sendmail.pem \ 

-keyout /etc/pki/tls/certs/sendmail.pem 


Lo anterior solicitará se ingresen varios datos: 

• Código de dos letras para el país. 

• Estado o provincia. 

• Ciudad. 

• Nombre de la empresa o razón social. 

• Unidad o sección. 

• Nombre del anfitrión, En el formato nombre.dominio.tld o dominio.tld. Ejemplo: alcancelibre.org, 
mail.alcancelibre.org, correo.alcancelibre.org. Por si acaso lo desconoce, tld corresponde a las 
siglas de Top Level Domain, es decir Dominio de Primer Nivel, como serían .com, .net, .org, 
.info, .mx, etc. 

• Dirección de correo. 

La salida será algo similar a lo siguiente: 
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Generating a 1024 bit DSA private key 
writing new private key to 'smtp.key' 


You are about to be asked to enter information that will be 
incorporated into your certificate request. 

What you are about to enter is what is called a Distinguished Name 
or a DN. 

There are quite a few fields but you can leave some blank 
For some fields there will be a default value, 

If you enter '.', the field will be left blank. 


Country Name (2 letter code) [GB]:MX 

State or Province Name (fulí name) [Berkshire]: Distrito Federal 
Locality Name (eg, city) [Newbury]: Mexico 

Organization Name (eg, company) [My Company Ltd]: Empresa, S.A. de C.V. 
Organizational Unit Name (eg, section) []:Unidad de negoico responsable 
Common Name (eg, your name or your server's hostname) [] :mail. dominio.com 
Email Address [] :webmaster@dominio.com 


Si definió un nombre de anfitrión absoluto (ejemplo: mail.dominio.com), el certificado sólo será válido cuando el 
servidor de correo electrónico sea invocado con el nombre definido en el campo Common Name. Es decir, sólo 
podrá utilizarlo cuando se defina mail.dominio.com como servidor SMTP/IMAP/POP3 con soporte TLS desde 
el cliente de correo electrónico. Funcionará incorrectamente si se invoca al servidor como, por mencionar un 
ejemplo, correo.dominio.com. 

A fin de facilitar a los clientes de correo electrónico el poder gestionar una futura actualización de certificado, 
conviene anadir una huella distintiva indubitable (fingerprint) al certificado. 

openssl x509 -subject -fingerprint -noout \ 

-in /etc/pki/tls/certs/sendmail.pem 


Es indispensable que el archivo *.pem tenga permisos de acceso de lectura y escritura sólo para root: 


chmod 600 /etc/pki/tls/certs/sendmail.pem 
chown root:root /etc/pki/tls/certs/sendmail.pem 


76.3.3. Alta de cuentas de usuario y asignación de contrasenas. 

La autenticación para SMTP, a través de cualquier método — PLAIN, LOGIN, Digest-MD5 o CRAM-MD5— 
requiere se gestione a través del servicio saslauthd. 


Si los usuarios se van a dar de alta siguiendo el formato usuario@dominio.com en lugar de sólo usuario, una 
práctica común en los servidores con múltiples dominios virtuales, es necesario anadir al servicio saslauthd la 
opción -r, la cual permite combinar el nombre de usuario y dominio antes de pasar por el mecanismo de 
autenticación. Si éste es el caso, se debe editar el archivo /etc/sysconfig/saslauthd: 

vi /etc/sysconfig/saslauthd 


Y anadir la opción -r a los argumentos de FLAGS: 


# Options sent to the saslauthd. If the MECH is other than "pam" uncomment 

# the next line. 

# DAEMONOPTS=--user saslauth 

# Additional flags to pass to saslauthd on the command line. See saslauthd(8) 

# for the list of accepted flags. 

FLAGS=-r 


Afiada el servicio al arranque del sistema e inicie éste ejecutando lo siguiente: 
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chkconfig saslauthd on 
service saslauthd start 


El alta de usuarios es la misma que como con cualquier otro usuario del sistema. Sendmail utilizará el servicio 
saslauthd para autenticar a éstos a través de los métodos PLAIN y LOGIN. 

Se sugiere se asignar /dev/null o /sbin/nologin como intérprete de mandatos para los usuarios de correo. 
Ejemplo: 


useradd -s /dev/null usuario 


La asignación de contraserias para permitir autenticar a través de SMTP, POP3, e IMAP, utilizando el método 
PLAIN o bien el método LOGIN, se hace exactamente igual que con cualquier otra cuenta de usuario del 
sistema: 


passwd usuario 

El sistema solicitará se confirme la nueva contrasena. Prefiera utilizar buenas contrasenas y evitará así 
problemas de seguridad. 


m 


Nota. 


La asignación de contrasenas para autenticar SMTP a través de métodos CRAM-MD5 y DIGEST-MD5 puede hacerse 
ejecutando saslpasswd2 con el nombre de usuario como argumento: 


saslpasswd2 usuario 


Cabe senalar que sólo algunos clientes de correo electrónico tienen de soporte para autenticar a través de estos 
métodos. 


Puede mostrarse la lista de los usuarios con contrasena asignada a través de SASL-2 ejecutando sasldblistusers2. 


76.3.4. Dominios a administrar. 

Edite el archivo /etc/mail/local-host-names: 


vi /etc/mail/local-host-names 


Establezca los dominios locales que serán administrados: 


dominiol.com 
dominio2.net 
dominio3.org 
dominio4.com.mx 


76.3.5. Control de acceso 

Edite el archivo /etc/mail/access para definir las listas de control de acceso: 


vi /etc/mail/access 
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Este archivo debe incluir todas las direcciones IP locales del servidor —las que se devuelvan tras ejecutar ip 
addr show. 

Puede incluir también la lista direcciones IP, dominios o cuentas de correo electrónico a las que se quiera 
otorgar permisos de re-transmisión sin restricciones o con permiso para enviar correo electrónico sólo a cuentas 
locales. Puede definir también una lista negra de direcciones de correo electrónico, dominios y direcciones IP a 
las que se desee denegar el acceso. Considere que: 

• Cualquier elemento con RELAY tendrá permitido enviar correo electrónico, sin necesidad de 
autenticar y re-transmitir éste sin restricción alguna. 

• Cualquier elemento con OK tendrá permitido enviar correo electrónico, sin necesidad de 
autenticar pero sólo a las cuentas locales. 

• Cualquier elemento con REJECT tendrá prohibida cualquier tipo de comunicación de correo 
electrónico. 


Nota. 

Jamás configure una segmento completo de red local con RELAY, ya que dejaría de tener sentido utilizar autenticación a 
través de SMTP y potencialmente podría permitir que los problemas de seguridad de maquinas infectadas con virus, 
gusanos o troyanos, se magnifiquen, siendo que permitiría el envío, sin restricciones, de correo electrónico infectado o 
bien cantidades extraordinarias de spam, originadas por los equipos cuya seguridad se haya visto comprometida. 

Ejemplo de configuración para el archivo /etc/mail/access: 
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Connect:localhost.localdomain RELAY 


Connect:localhost 

RELAY 


Connect:127.0.0.1 

RELAY 


tt 

# Dirección IP del propio servidor. 


Connect:192.168.70.51 

44 

RELAY 


tF 

# Otros servidores de 

correo en la LAN a los que se 

les permitirá enviar 

# correo libremente a 

través del propio servidor de 

correo. 

Connect:192.168.70.52 

44- 

RELAY 


tF 

# Direcciones IP que 

sólo podrán entregar correo de 

forma local, es decir, 

# no pueden enviar correo fuera del propio servidor 


Connect:192.168.2.24 

44 

0K 


TF 

# Lista negra 



usuario@molesto.com 

REJECT 


productoinutil.com.mx 

REJECT 


10.4.5.6 

REJECT 


tt 

# Bloques de Asia Pacific Networks, ISP desde el cual se emite la mayor 

# parte del Spam del 

mundo. 


# Las redes involucradas abarcan Australia, Japón, 

China, Corea del Sur, 

Taiwan, 



# Hong Kong e India por lo que bloquear el correo de dichas redes significa 

# cortar comunicación 

con estos paises, pero acaba 

con entre el 60% y 80% 

# del Spam. 



222 

REJECT 


221 

REJECT 


220 

REJECT 


219 

REJECT 


218 

REJECT 


212 

REJECT 


211 

REJECT 


210 

REJECT 


203 

REJECT 


202 

REJECT 


140.109 

REJECT 


133 

REJECT 


61 

REJECT 


60 

REJECT 


59 

REJECT 


58 

REJECT 



76.3.6. Alias de root. 

Es peligroso autenticarse con la cuenta de root para revisar los mensajes de correo electrónico originados por 
el sistema. Defina un alias hacia el cual se entregará todo el correo electrónico que originalmente fue dirigido a 
root. 


Edite el archivo /etc/aliases: 

vi /etc/aliases 

Defina al final del archivo la cuenta de usuario regular al que le será entregado el correo electrónico 
originalmente iba dirigido a root: 

root: fulano 
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Ejecute newaliases para convertir el archivo /etc/aliases en /etc/aliases.db y verificar que la sintaxis esté 
correcta o determinar si existen aliases duplicados. 

newaliases 

Lo anterior debe devolver una salida similar a la siguiente: 

/etc/aliases: 77 aliases, longest 10 bytes, 777 bytes total 

76.3.7. Configuración de opciones de Sendmail. 

Edite el archivo /etc/mail/sendmail.mc. 

vi /etc/mail/sendmail.mc 

76.3.7.1. confSMTP LOGIN MSG. 


Esta opción permite establecer el mensaje de bienvenida al establecer la conexión al servidor y ocultar el 
nombre y la versión de Sendmail para agregar seguridad por oscuridad. Funciona haciendo que quien 
establezca una conexión hacia el servidor sea incapaz determinar qué versión de Sendmail se está utilizando y 
con ésto dificultar se puedan determinar las debilidades del servicio o determinar una vulnerabilidad específica. 
Habilite la siguiente línea resaltada eliminando el dnl y el espacio sobrante: 


dnl # Do not advertize sendmail version. 
dnl # 

definef'confSMTP_LOGIN_MSG','$j Sendmail; $b’)dnl 

dnl # 

dnl # default logging level is 9, you might want to set it higher to 
dnl # debug the configuration 


Guarde los cambios y salga del editor. 


Reinicie el servicio: 


service sendmail restart 

Realice una conexión al puerto 25. Obtendrá una salida similar a la siguiente: 


$ telnet 127.0.0.1 25 

220 mail.dominio.com ESMTP Sendmail ; Mon, 17 May 2004 02:22:29 -0500 

quit 

221 2.0.0 mail.dominio.com closing connection 
Connection closed by foreign host. 

$ 


76.3.7.2. confAUTH OPTIONS. 


Vuelva a editar el archivo /etc/mail/sendmail.mc: 


vi /etc/mail/sendmail.mc 
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La siguiente línea resaltada permite realizar el proceso de autenticación a través del puerto 25 utilizando el 
método PLAIN o bien el método LOGIN, los cuales transmiten el nombre de usuario junto con su 
correspondiente contrasena en texto simple, garantizando 100% de compatibilidad con todos los clientes de 
correo electrónico existentes. Sin embargo ésto también implica un enorme riesgo de seguridad, por lo cual se 
recomienda implementar seguridad a través de SSL/TLS. 


define( 'UUCP_.MAILER_.MAX' , '2000000' )dnl 

define('confUSERDB_SPEC', '/etc/maií/userdb.db')dnl 

define('confPRIVACY_FLAGS 1 , 'authwarnings,novrfy,noexpn,restrictqrun 1 )dnl 

define('confAUTH OPTIONS 1 ,'A')dnl 

dnl # 

dnl # The following allows relaying if the user authenticates, and disallows 
dnl # plaintext authentication (PLAIN/LOGIN) on non-TLS links 


Inhabilite ésta anadiendo un dnl y un espacio como se muestra a continuación: 


define('UUCP_MAILER_MAX 1 , '2000000')dnl 

define( confUSERDB„SPEC', '/etc/maií/userdb.db')dnl 

define('confPRIVACY_FLAGS 1 , 'authwarnings,novrfy,noexpn,restrictqrun 1 )dnl 

dnl define('confAUTH OPTIONS 1 ,'A')dnl 

dnl # 

dnl # The following allows relaying if the user authenticates, and disallows 
dnl # plaintext authentication (PLAIN/LOGIN) on non-TLS links 


Localice la siguiente línea resaltada y habilite ésta eliminado el dnl y el espacio sobrante como se muestra a 
continuación: 


dnl # The following allows relaying if the user authenticates, and disallows 
dnl # plaintext authentication (PLAIN/LOGIN) on non-TLS links 
dnl # 

define('confAUTH OPTIONS 1 ,'A p')dnl 

dnl # 

dnl # PLAIN is the preferred plaintext authentication method and used by 
dnl # Mozilla Mail and Evolution, though 0utlook Express and other MUAs do 


Lo anterior hará que sea obligatorio a utilizar SSL/TLS para todas las conexiones con cualquier cliente 
de correo electrónico 

76.3.7.3. TRUST_AUTH MECH y confAUTH_MECHANISMS. 


El soporte de autenticación requiere habilitar las siguientes dos líneas resaltadas: 


dnl # guaranteed secure. 

dnl # Please remember that saslauthd needs to be running for AUTH. 
dnl # 

TRUST AUTH MECH('EXTERNAL DIGEST-MD5 CRAM-MD5 LOGIN PLAIN'Jdnl 

define('confAUTH MECHANISMS 1 , 'EXTERNAL GSSAPI DIGEST-MD5 CRAM-MD5 LOGIN PLAIN'Jdnl 

dnl # 

dnl # Rudimentary information on creating certificates for sendmail TLS: 
dnl # cd /etc/pki/tls/certs; make sendmail.pem 


Elimine el soporte para GSSAPI, DIGEST-MD5 y CRAM-MD5. El primero requiere un servidor Kerberos y para 
los otros el algoritmo de ciframiento es demasiado débil para ser utilizado sin SSL/TLS y además sólo es 
soportado por algunos clientes de correo electrónico. 
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dnl # guaranteed secure. 

dnl # Please remember that saslauthd needs to be runninq for AUTH. 
dnl # 

TRUST_AUTH MECH('EXTERNAL LOGIN PLAIN')dnl 

define( COnfAUTH MECHANISMS', EXTERNAL LOGIN PLAIN'Jdnl 

dnl # 

dnl # Rudimentary information on creating certificates for sendmaìl TLS: 
dnl # cd /etc/pki/tls/certs; make sendmail.pem 


76.3.7.4. Soporte para SSL/TLS. 

Habilite las siguientes líneas resaltadas para hacer el uso de la firma digital y certificado creados: 


dnl # Complete usage: 

dnl # make -C /etc/pki/tls/certs usage 
dnl # 

define('confCACERT PATH','/etc/pki/tls/certs' )dnl 
definej'confCACERT','/etc/pki/tls/certs/ca-bundle.crt 1 )dnl 
define('confSERVER CERT 1 ,'/etc/pki/tls/certs/sendmail.pem 1 ) dnl 
define('confSERVER KEY 1 ,'/etc/pki/tls/certs/sendmail.pem') dnl 

dnl # 

dnl # This allows sendmail to use a keyfile that is shared with OpenLDAP's 
dnl # slapd, which requires the file to be readble by group ldap 


76.3.7.5. DAEMON_OPTIONS. 

De modo predeterminado Sendmail sólo escucha peticiones a través de la interfaz de retorno del sistema 
(127.0.0.1). Localice la siguiente línea resaltada: 


dnl # 127.0.0.1 and not on any other network devices. Remove the loopback 
dnl # address restriction to accept email from the internet or intranet. 
dnl # 

DAEMONOPTIONS( Port=smtp,Addr=127. 0.0.1, Name=MTA')dnl 

dnl # 

dnl # The following causes sendmail to additionally listen to port 587 for 
dnl # mail from MUAs that authenticate. Roaming users who can't reach their 


Elimine el valor Addr=127.0.0.1 y la coma sobrante: 


dnl # 127.0.0.1 and not on any other network devices. Remove the loopback 
dnl # address restriction to accept email from the internet or intranet. 
dnl # 

DAEMON OPTIONS( Port=smtp, Name=MTA')dnl 

dnl # 

dnl # The following causes sendmail to additionally listen to port 587 for 
dnl # mail from MUAs that authenticate. Roaming users who can't reach their 


El puerto 587 (submission) puede ser utilizado también para envío de correo electrónico. Por estándar se utiliza 
como puerto alternativo en los casos donde un cortafuegos impide a los usuarios acceder hacia servidores de 
correo electrónico —que normalmente utilizan el puerto 25. Localice y habilite la siguiente línea resaltada: 


dnl # preferred sendmail daemon due to port 25 being blocked or redirected find 
dnl # this useful. 
dnl # 

DAEMON_OPTIONS('Port=submission, Name=MSA, M=Ea')dnl 

dnl # 

dnl # The following causes sendmail to additionally listen to port 465, but 
dnl # starting immediately in TLS mode upon connecting. Port 25 or 587 followed 


El acceso con STARTTLS se realizará a través de los puertos 25 o 587, sin embargo el acceso con SSL se 
realizará a través del puerto 465. Localice y habilite la siguiente línea resaltada: 


709 







Joel Barrios Duenas 


Configuración de Servidores con GNU/Linux 


dnl # 

dnl # For this to work your OpenSSL certificates must be configured. 
dnl # 

DAEMON_OPTIONS('Port=smtps, Name=TLSMTA, M=s')dnl 

dnl # 

dnl # The following causes sendmail to additionally listen on the IPv6 loopback 
dnl # device. Remove the loopback address restriction listen to the network. 


76.3.7.6. FEATURE( accept_unresolvable_domains'). 

Afin de permitir el envío local del correo electrónico para los mensajes y alertas del sistema en un escenario sin 
servidores DNS, se utiliza la opción FEATURE('accept_unresolvable_domains'). Debe inhabilitarse para 
impedir se acepte correo de dominios inexistentes (generalmente utilizado para el envío de correo masivo no 
solicitado o Spam). Inhabilite la línea ahadiendo un dnl y un espacio: 


dnl # protect yourself from spam. However, the laptop and users on computers 
dnl # that do not have 24x7 DNS do need this. 
dnl # 

dnl FEATURE('accept_unresolvable domains')dnl 

dnl # 

dnl FEATURE('relay_based_on_MX')dnl 
dnl # 


76.3.7.7. Archivo plantilla de todo lo anterior. 

Si lo prefiere, puede descargar un archivo plantilla con todas las opciones para el archivo 

/etc/mail/sendmail.mc mencionadas arriba. 


wget http://www.alcancelibre.org/linux/secrets/sendmail.mc \ 
-0 /etc/mail/sendmail.mc 


76.3.7.8. Enmascaramiento. 

El enmascaramiento sólo es necesario en casos donde el nombre de anfitrión del sistema es distinto al del 
dominio(s) administrado(s) en el servidor. 


Habilite las siguientes tres líneas resaltadas eliminando los dnl y los espacio sobrantes y adapte el valor de 
MASQUERADE_AS para definir la máscara que utilizará el servidor para enviar correo electrónico (es decir, 
define lo que va después de la @ en la dirección de correo): 


dnl # The following example makes mail from this host and any additional 
dnl # specified domains appear to be sent from mydomain.com 
dnl # 

MASQUERADE AS(' dominiol.com ')dnl 

dnl # 

dnl # masquerade not just the headers, but the envelope as well 
dnl # 

FEATURE(masquerade_envelope)dnl 

dnl # 

dnl # masquerade not just imydomainalias.com, but §*.mydomainalias.com as well 
dnl # 

FEATURE(masquerade„entire_domain)dnl 

dnl # 

dnl MASQUERADE_DOMAIN(localhost)dnl 

dnl MASQUERADE_DOMAIN(localhost.localdomain)dnl 


En el ejemplo anterior dominiol.com es sólo un ejemplo hipotético. Remplace por un dominio real. 
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Si se van a administrar múltiples dominios, anada aquellos que considere deban conservar su propia máscara. 
Utilice la opción MASQUERADE_EXCEPTION para cada uno como se muestra en el siguiente ejemplo: 


dnl # specified domains appear to be sent from mydomain.com 
dnl # 

MASQUERADE_AS( 'dominiol.com' )dnl 

MASQUERADE_EXCEPTION('dominio2.net 1 )dnl 
MASQUERADE EXCEPTION('dominio3.org’)dnl 
MASQUERADE EXCEPTION('dominio4.com.mx")dnl 

dnl # 

dnl # masquerade not just the headers, but the envelope as well 
dnl # 


En el ejemplo anterior dominiol.com, dominio2.net, dominio3.org y dominio4.com. mx son sólo ejemplos 
hipotéticos. Remplace por dominios reales. 

76.3.7.9. Control del correo chatarra (spam) a través de DNSBLs. 

Si se desea utilizar listas negras para mitigar el correo chatarra ( spam ), pueden ahadir la siguiente línea para 
definir la lista negra de SpamCop.net, casi al final del archivo /etc/mail/sendmail.mc y justo arriba de 
MA!LER(smtp)dni. 


dnl MASQUERADE_DOMAIN(localhost.localdomain)dnl 
dnl MASQUERADE_DOMAIN(mydomainalias.com)dnl 
dnl MASQUERADEDOMAIN(mydomain.lan)dnl 

FEATURE('enhdnsbl 1 , 'bl.spamcop.net', '"Spam blocked see: http://spamcop.net/bl.shtml?"$&{client_addr} 1 , 't‘)dnl 

MAILER(procmail)dnl 
dnl MAILER(cyrusv2)dnl 


76.3.8. Iniciar, detener o reiniciar servicio. 

Ejecute lo siguiente para aplicar cambios realizados a la configuración: 
service sendmail restart 

Ejecute lo siguiente para iniciar por primera vez el servicio: 
service sendmail start 

Ejecute lo siguiente para detener el servicio: 
service sendmail stop 

Examine el contenido de /var/log/maillog ejecutando tail con la opción -f para detectar errores en la 
configuración: 

tail -f /var/log/maillog 

76.3.8.1. Comprobaciones. 

Realice una conexión con nc (netcat) o bien con telnet, hacia al puerto 25 del anfitrión local: 

telnet 127.0.0.1 25 
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Ejecute EHLO usando como argumento el nombre del dominio configurado y pulse la tecla ENTER. La salida 
deberá devolver todas las funciones del servidor y entre éstas debe devolver una línea que indica STARTTLS. 
La salida puede ser similar a la siguiente: 


220 dominio.com ESMTP Sendmail ; Sat, 19 Jun 2010 18:18:02 -0500 

ehlo dominio.com 

250-dominio.dom Hello localhost.localdomain [127.0.0.1], pleased to meet you 

250 -ENHANCEDSTATUSCODES 

250-PIPELINING 

250-8BITMIME 

250-SIZE 

250-DSN 

250-ETRN 

250-STARTTLS 

250-DELIVERBY 

250 HELP 

QUIT 


Ejecute QUIT y pulse la tecla ENTER para salir. 


Ejecute lo siguiente para verificar el soporte SSL/TLS estableciendo conexiones SSL y TLS hacia los puertos 
25, 465 y 587: 


openssl s_client -crlf -connect 127.0.0.1:25 -starttls smtp 
openssl s_client -connect 127.0.0.1:465 

openssl s_client -crlf -connect 127.0.0.1:587 -starttls smtp 


La salida de cualquiera de los anteriores será muy extensa, mostrando la información del certificado utilizado. 


Ingrese EHLO con el dominio configurado. La salida deberá devolver todas las funciones del servidor y entre 
éstas debe devolver una línea que indica AUTH LOGIN PLAIN. La salida después del la información del 
certificado puede ser similar a la siguiente: 


220 dominio.com ESMTP Sendmail ; Sat, 19 Jun 2010 18:18:02 -0500 

ehlo dominio.com 

250-dominio.com Hello localhost.localdomain [127.0.0.1], pleased to meet you 

250 -ENHANCEDSTATUSCODES 

250-PIPELINING 

250-8BITMIME 

250-SIZE 

250-DSN 

250-ETRN 

250-AUTH LOGIN PLAIN 

250-DELIVERBY 
250 HELP 

QUIT 


Realice el ejemplo de conexión para SMTP descrito en el documento titulado Introducción a los protocolos 
de correo electrónico para verificar el funcionamiento del envío de correo a través de SSL/TLS. 


76.4. Modificaciones necesarias en el muro cortafuegos. 


Como medida de seguridad siempre abra los puertos del cortafuegos sólo hasta después de finalizar la 
configuración del servidor de correo electrónico y que sólo hasta que haya comprobado las configuraciones. 


El funcionamiento normal de un servicio de correo electrónico estándar requiere abrir los puertos 25 (smtp), 465 
(smtps) y 587 (submission), todos a través de TCP. 
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76.4.1. Servicio iptables. 

Ejecute lo siguiente: 


iptables -A 

INPUT -m 

state 

--state 

NEW -m 

tcp 

-P 

tcp 

- -dport 

25 -j ACCEPT 

iptables -A 

INPUT -m 

state 

--state 

NEW -m 

tcp 

-P 

tcp 

- -dport 

465 -j ACCEPT 

iptables -A 

INPUT -m 

state 

--state 

NEW -m 

tcp 

-P 

tcp 

- -dport 

587 -j ACCEPT 


Ejecute lo siguiente para guardar los cambios: 
service iptables save 

O bien edite el archivo /etc/sysconfig/iptables: 

vi /etc/sysconfig/iptables 


Anada lo siguiente: 


-A 

INPUT -m 

state 

--state 

NEW -m 

tcp 

-p 

tcp 

- -dport 

25 - 

-j ACCEPT 

-A 

INPUT -m 

state 

--state 

NEW -m 

tcp 

-p 

tcp 

- -dport 

465 

-j ACCEPT 

-A 

INPUT -m 

state 

--state 

NEW -m 

tcp 

-p 

tcp 

- -dport 

587 

-j ACCEPT 


Reinicie el servicio: 


service iptables restart 


76.4.2. Shorewall. 

Edite el archivo /etc/shorewall/rules: 


vi /etc/shorewall/rules 

Las reglas corresponderían a algo similar a lo siguiente: 


#ACTI0N 

SOURCE 

DEST 

PR0T0 

DEST 

SOURCE 

ACCEPT 

all 

fw 

tcp 

PORT 

25,465,587 

PORT(S)1 


Reinicie el servicio para aplicar los cambios: 


service shorewall restart 


76.5. Equipamiento lógico para servicios de IMAP y POP3. 

Dovecot es una ligera, rápida y transparente solución de fácil administración para los servicios de IMAP y 
POP3. Sólo es apropiado para servidores que serán accedido preferentemente a través de POP3, menos de 
100 usuarios o bien a través de IMAP con buzones de menos de 50 MB y baja a mediana carga de trabajo. Si 
así fuesen las circunstancias, por favor consulte el documento titulado «Configuración de Dovecot con 
soporte SSL/TLS.». 
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Cyrus IMAP es una compleja pero muy robusta y escalable solución que permite acceder hacia enormes 
cantidades de correo electrónico a través de IMAP o POP3 con mediana a elevada carga de trabajo. Si así 
fuesen las circunstancias, por favor consulte el documento titulado « Configuración de Cyrus IMAP con 
soporte SSL/TLS». 

76.6. Lecturas posteriores. 

Se recomienda consultar los documentos titulados « Configuración de Cyrus IMAP con soporte SSL/TLS», 
«Configuración de Dovecot con soporte SSL/TLS», «Configuración avanzada de Sendmail », «Cómo 
instalar y configurar Spamassassin » y « Configuración simple para Antivirus y Antispam». 
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77.1. Introducción. 

Este documento requiere la lectura y comprensión previa del documento titulado «Configuración básica de 
Sendmail». 

77.1.1. Acerca de Dovecot. 

Dovecot es un servidor de POP3 e IMAP, de código fuente abierto, que funciona en Linux y sistemas basados 
sobre Unix™ y disenado con la seguridad como principal objetivo. Dovecot puede utilizar tanto el formato 
mbox como maildir y es compatible con las implementaciones de los servidores UW-IMAP y Courier IMAP. 

Dovecot es una excelente y ligera solución de fácil administración. La configuración básica descrita en este 
documento sólo es apropiada para servidores que serán accedido sólo a través de POP3, con menos de 100 
usuarios, o bien aacceder a través de IMAP hacia buzones de menos de 50 MB y baja a mediana carga de 
trabajo. Si el servidor de correo electrónico será accedido a través de POP3 e IMAP, tendrá una elevada carga 
de trabajo, más de 100 usuarios y si planea utilizar buzones de correo electrónico de más de 50 MB, por favor 
prefiera utilizar Cyrus IMAP. Si así fuese el caso, por favor consulte el documento titulado «Configuración de 
Cyrus IMAP y Sendmail con soporte SSL/TLS». 

URL: http://dovecot.org/. 

77.2. Procedimientos. 

Elimine los certificados de prueba: 


rm -f /etc/pki/dovecot/certs/dovecot.pem \ 
/etc/pki/dovecot/private/dovecot.pem 


Durante los procedimientos del documento titulado «Introducción a los protocolos de correo electrónico» 
debió haberse creado el archivo /etc/pki/tls/certs/sendmail.pem. Copie con los mismos atributos el archivo 
/etc/pki/tls/certs/sendmail.pem como los archivos /etc/pki/dovecot/certs/dovecot.pem y 
/etc/pki/dovecot/private/dovecot.pem: 


cp -a /etc/pki/tls/certs/sendmail.pem \ 
/etc/pki/dovecot/certs/dovecot.pem 
cp -a /etc/pki/tls/certs/sendmail.pem \ 
/etc/pki/dovecot/private/dovecot.pem 


77.2.1. Configuración de Dovecot en CentOS 6 y Red Hat Enterprise Linux 6. 
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CentOS 6 y Red Hat Enterprise Linux 6 utilizan la versión 2.0 de Dovecot y por lo cual cambia radicalmente 
la configuración respecto de la versión l.O.x, utilizada en CentOS 5 y Red Hat Enterprise Linux 5. 

De modo predeterminado Dovecot sólo permite autenticar utilizando contrasenas en texto simple sin SSL/TLS 
sólo desde el anfitrión local. La autenticación de usuarios desde anfitriones remotos sólo se permite a través de 
SSL/TLS. Si requiere permitir la autenticación de usuarios sin SSL/TLS —algo poco prudente en servidores 
en producción, pero perfecto para realizar pruebas simples de autenticación— edite el archivo 
/etc/dovecot/conf.d/lO-auth.conf: 

vi /etc/dovecot/conf.d/10-auth.conf 


Localice la opción disable plaintext_auth: 


## 

## Authentication processes 

## 

# Disable LOGIN command and all other plaintext authentications unless 

# SSL/TLS is used (LOGINDISABLED capability). Note that if the remote IP 

# matches the local IP (ie. you're connecting from the same computer), the 

# connection is considered secure and plaintext authentication is alíowed. 

#disable_plaintext„auth = yes 


Si está plenamente consciente de las consecuencias que pueden repercutir en la seguridad del servidor, elimine 
la almohadilla y cambie el valor yes por el valor no: 


## 

## Authentication processes 

## 

# Disable LOGIN command and all other plaintext authentications unless 

# SSL/TLS is used (LOGINDISABLED capability). Note that if the remote IP 

# matches the local IP (ie. you're connecting from the same computer), the 

# connection is considered secure and plaintext authentication is alíowed. 

disable plaintext_auth = no 


Se recomienda dejar la opción disable_plaintext_auth con la opción yes a fin de obligar a los usuarios a 
autenticar sólo a través de conexiones seguras con SSL/TLS. 

Edite el archivo /etc/dovecot/dovecot.conf: 

vim /etc/dovecot/dovecot.conf 

Habilite la opción protocols estableciendo como valores pop3 imap Imtp: 

# Protocols we want to be serving. 
protocols = imap pop3 lmtp 

Edite el archivo /etc/dovecot/conf.d/lO-mail.conf: 


vim /etc/dovecot/conf.d/10-mail.conf 


Alrededor de la línea 30 del archivo /etc/dovecot/conf.d/lO-mail.conf, establezca 
mbox:~/mail:INBOX=/var/mail/%u como valor de la opción mailjocation. 
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# See doc/wiki/Variables.txt for full list. Some examples: 

# 

# mail_location = maildir:-/Maildir 

# mail_location = mbox:~/mail:INBOX=/var/mail/%u 

# mail_location = mbox:/var/mail/%d/%ln/%n:INDEX=/var/indexes/%d/%ln/%n 

# 

# <doc/wiki/Maill_ocation. txt> 

# 

mail„location = mbox:~/mail:INBOX=/var/mail/%u 


En este mismo archivo, alrededor de la línea 115, localice la opción maiLprivileged_group, descomente ésta 
y defina como valor el grupo mail: 

# Group to enable temporarily for privileged operations. Currently this is 

# used only with INBOX when either its initial creation or dotlocking fails. 

# Typically this is set to "mail" to give access to /var/mail. 
mail_privileged_group = mail 


Alrededor de la línea 122 del archivo /etc/dovecot/conf.d/lO-mail.conf, localice la opción 
mail_access_groups, habilite ésta y defina también como valor el grupo mail: 

# Grant access to these supplementary groups for mail processes. Typically 

# these are used to set up access to shared mailboxes. Note that it may be 

# dangerous to set these if users can create symlinks (e.g. if "mail" group is 

# set here, ln -s /var/mail ~/mail/var could allow a user to delete others' 

# mailboxes, or ln -s /secret/shared/box ~/mail/mybox would allow reading it). 
mail_access_groups = mail 


Se requiere que los usuarios locales pertenezcan al grupo mail para que lo anterior represente un problema de 
seguridad. 

Edite el archivo /etc/dovecot/conf.d/lO-ssl.conf: 


vim /etc/dovecot/conf.d/10-ssl.conf 


Verifique que estén habilitadas las siguientes líneas resaltadas: 


# SSL/TLS support: yes, no, required. <doc/wiki/SSL.txt> 

ssl = yes 

# PEM encoded X.509 SSL/TLS certificate and private key. They're opened before 

# dropping root privileges, so keep the key file unreadable by anyone but 

# root. Included doc/mkcert.sh can be used to easily generate self-signed 

# certificate, just make sure to update the domains in dovecot-openssl.cnf 

ssl_cert = </etc/pki/dovecot/certs/dovecot.pem 
ssl„key = </etc/pki/dovecot/private/dovecot.pem 


Afin de que surtan efecto los cambios, es necesario reinicie el servicio dovecot. 

service dovecot restart 


77.2.2. Configuración de Dovecot en CentOS 5 y Red Hat Enterprise Linux 5. 

Edite el archivo /etc/dovecot.conf: 


vim /etc/dovecot .conf 
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Verifique que estén establecidos como valores imap imaps pop3 pop3s en la opción protocols. 

protocols = imap imaps pop3 pop3s 

De modo predeterminado, el soporte SSL de Dovecot está activo. Verifique que la opción ssLdisable tenga el 
valor no o bien sólo esté comentado. 

#ssl„disable = no 

Busque y verifique que sean correctas las rutas del certificado y firma digital especificados en las opciones 

ssl_cert file y ssl key_file: 

ssl_cert_file = /etc/pki/dovecot/certs/dovecot.pem 
ssl_key_file = /etc/pki/dovecot/private/dovecot.pem 

Para iniciar por primera vez el servicio dovecot, ejecute lo siguiente: 
service dovecot start 

Si el servicio dovecot ya estaba en ejecución, para poder aplicar cualquier cambio posterior a la configuración, 
ejecute lo siguiente: 

service dovecot restart 

Agregue el servicio dovecot al arranque del sistema ejecutando lo siguiente: 
chkconfig dovecot on 


77.2.3. Comprobaciones. 

Ejecute todo lo siguiente para verificar el soporte SSL/TLS, estableciendo conexiones SSL y TLS hacia los 
puertos 110, 995, 143 y 993: 


openssl s_client -connect 127.0.0.1:993 
openssl s_client -connect 127.0.0.1:995 

openssl s_client -crlf -connect 127.0.0.1:110 -starttls pop3 
openssl s_client -crlf -connect 127.0.0.1:143 -starttls imap 


La salida de todo lo anterior será muy extensa, mostrando la información de los certificados utilizados. 


Realice los ejemplos de conexiones para POP3 e IMAP descritos en el documento titulado Introducción a los 
protocolos de correo electrónico para verificar el funcionamiento a través de SSL/TLS. 


Si lo prefiere, utilice cualquier cliente de correo electrónico con soporte para SSL, TLS o STARTTLS y configure 
éste para conectarse hacia el sistema a través de IMAPS (puerto 993) o bien POP3S (puerto 995). Tras aceptar 
el certificado del servidor, el sistema deberá permitir autenticar, con nombre de usuario y clave de acceso y 
realizar la lectura del correo electrónico. 

77.3. Modificaciones necesarias en el muro cortafuegos. 
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Como medida de seguridad, siempre abra los puertos del cortafuegos sólo hasta después de finalizar la 
configuración del servidor de correo electrónico y que sólo hasta que haya comprobado las configuraciones. 


Se requiere haber abierto previamente los puertos 25 (smtp), 465 (smtps) y 587 (submission) utilizados por 
Sendmail y que debieron haber sido configurados siguiendo los procedimientos del documento titulado 

«Configuración básica de Sendmail ». 


Para el funcionamiento normal de un servicio de correo electrónico estándar, es necesario abrir también los 
puertos 110 (pop3), 143 (imap), 993 (imaps) y 995 (pop3s), todos porTCP. 

77.3.1. Servicio iptables. 

Puede utilizar iptables, ejecutando lo siguiente: 


iptables -A 

INPUT -m 

state 

--state 

NEW -m 

tcp 

-P 

tcp 

- -dport 

110 

-3 

ACCEPT 

iptables -A 

INPUT -m 

state 

--state 

NEW -m 

tcp 

-P 

tcp 

- -dport 

143 

-3 

ACCEPT 

iptables -A 

INPUT -m 

state 

--state 

NEW -m 

tcp 

-P 

tcp 

- -dport 

993 

-3 

ACCEPT 

iptables -A 

INPUT -m 

state 

--state 

NEW -m 

tcp 

-P 

tcp 

- -dport 

995 

-3 

ACCEPT 


Ejecute lo siguiente para guardar los cambios: 


service iptables save 


O bien anada lo siguiente al archivo /etc/sysconfig/iptables: 


-A 

INPUT -m 

state 

--state 

NEW -m 

tcp 

-P 

tcp 

- -dport 

110 

-3 

ACCEPT 

-A 

INPUT -m 

state 

--state 

NEW -m 

tcp 

-P 

tcp 

- -dport 

143 

-3 

ACCEPT 

-A 

INPUT -m 

state 

--state 

NEW -m 

tcp 

-P 

tcp 

- -dport 

993 

-3 

ACCEPT 

-A 

INPUT -m 

state 

--state 

NEW -m 

tcp 

-P 

tcp 

- -dport 

995 

-3 

ACCEPT 


Reinicie el servicio para aplicar los cambios: 


service iptables restart 


77.3.2. Shorevvall. 

Edite el archivo /etc/shorewall/rules: 


vi /etc/shorewall/rules 


Las reglas corresponderían a algo similar a lo siguiente: 


#ACTI0N 

SOURCE 

DEST 

PROTO 

DEST 

SOURCE 





PORT 

PORT(S)1 

ACCEPT 

all 

fw 

tcp 

25,465,587 


ACCEPT 

all 

fw 

tcp 

110,143,993,995 



Reinicie el servicio para aplicar los cambios: 


service shorewall restart 


77.4. Configuración de cliente de correo electrónico. 
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77.4.1. Configuración de GNOME Evolution. 

Para GNOME Evolution la configuración de IMAP o POP3 se realiza seleccionando el tipo de servidor, 
definiendo el nombre del servidor utilizado para crear el certificado, nombre de usuario y usar encriptación 
segura TLS. 



Configuración IMAP, en GNOME Evolution. 

Se hace lo mismo para la configuración de SMTP (utilizar conexión segura TLS), pero considerando además 
que también se puede utilizar el puerto 587 (submission) en caso de que el proveedor de acceso a Internet del 
cliente haya restringido el uso del puerto 25 (smtp). 
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Configuración SMTP, GNOME Evolution. 

77.4.2. Configuración Mozilla Thunderbird. 

Para Mozilla Thunderbird se define el nombre del servidor utilizado para crear el certificado, usuario y usar 
conexión segura TLS. 
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Conftqur»clôn cJ* t» cutfffa 



Configuración IMAP, Mozilla Thunderbird. 

Se hace lo mismo para la configuración de SMTP (utilizar conexión segura TLS), pero considerando además 
que también se puede utilizar el puerto 587 (submission) en caso de que el proveedor de acceso a Internet del 
cliente haya restringido el uso del puerto 25 (smtp). 



Configuración SMTP, Mozilla Thunderbird. 
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78. Configuración de Cyrus IMAP con soporte SSL/TLS. 
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sitio de Red: http://www.alcancelibre.org/ 


Creative Commons Reconocimiento-NoComercial-Compartirlgual 2.1 


© 1999-2016 Joel Barrios Duenas. Usted es libre de copiar, distribuir y comunicar públicamente la obra y hacer obras derivadas bajo las condiciones siguientes: a) 
Debe reconocer y citar al autor original. b) No puede utilizar esta obra para fines comerciales. c) Si altera o transforma esta obra o genera una obra derivada, sólo 
puede distribuir la obra generada bajo una licencia idéntica a ésta. Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. 
Alguna de estas condiciones puede no aplicarse si se obtiene el permiso del titular de los derechos de autor. Los derechos derivados de usos legítimos u otras 
limitaciones no se ven afectados por lo anterior. La información contenida en este documento y los derivados de éste se proporcionan tal cual son y los autores no 
asumirán responsabilidad alguna si el usuario o lector hace mal uso de éstos. 


78.1. Introducción. 

Es imprescindible primero estudiar y comprender los conceptos descritos en el documento titulado 

«Introducción a los protocolos de correo electrónico» y «Configuración básica de Sendmail». 

78.1.1. Acerca de Cyrus IMAP. 

Cyrus IMAP es un proyecto iniciado en 1994 en la Universidad Carnegie Mellon. Se distingue de otros 
programas con la misma finalidad en que utiliza un formato para los buzones de correo que mejora el 
rendimiento y escalabilidad del formato Maildir, utilizado por otros programas como Dovecot. Este formato 
almacena los datos por partes del sistema de archivos y que sólo pueden ser accedidos por el servicio de 
Cyrus IMAP. Esto permite gestionar eficientemente enormes cantidades de datos de forma eficiente y con un 
intérprete de mandatos para su administración. Incluye soporte para los protocolos IMAP, IMAPS, POP3 y 
POP3S, así como soporte para listas de control de acceso y cuotas de almacenamiento en la jerarquía de 
buzones. 

Un típico buzón de correo consiste en un único archivo dentro de /var/spool/mail y que contiene todos los 
mensajes de correo electrónico del usuario. Para leer un único mensaje el sistema debe abrir ese único archivo. 
Si el buzón contiene muchos mensajes o es de gran tamaíïo, este procedimiento puede repercutir 
negativamente en el desempeno del sistema. En el caso de los buzones Cyrus IMAP, cada mensaje es 
almacenado en un archivo individual dentro de sub-directorios de /var/spool/imap, por lo que la apertura de un 
mensaje consiste en consultar un archivo índice y abrir sólo el archivo específico para ese mensaje, todo con 
un mínimo consumo de recursos. 

Es la mejor alternativa para servidores de correo electrónico con Sendmail y elevada carga de trabajo. 

URL: http://cyrusimap.org/ 

78.2. Equipamiento lógico necesario. 

• cirus-imapd: servidor IMAP, IMAPS, POP3 y POP3S. 

• cyrus-imapd-utils: herramientas de administración. 

• cyrus-sasl: servicio de autenticación. 

• cyrus-sasl-plain: soporte para autenticación a través de texto simple. 

• cyrus-sasl-md5: soporte para autenticación a través de métodos cifrados. Sólo es necesario instalarlo 
si resulta imposible utilizar SSL/TLS y se quiere mantener un nivel aceptable de seguridad. 
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Instalación a través de yum. 

Los paquetes RPM oficiales para CentOS 7 y Red Hat™ Enterprise Linux 7 para Cyrus IMAP 2.4 carecen de 
los parches para crear automáticamente los buzones de usuarios y carpetas Sieve. Los paquetes que distribuye 
AlcanceLibre.org incluyen los parches actualizados correspondientes. Ejecute lo siguiente para configurar el 
almacén YUM de AL-Server: 


wget http://www.alcancelibre.org/al/server/AL-Server.repo \ 
/etc/yum.repos.d/AL-Server.repo 


Lo anterior es innecesario si utiliza ALDOS, CentOS 6 o Red Hat™ Enterprise Linux 6. 

Ejecute lo siguiente para instalar o actualizar Cyrus IMAP: 

yum -y install cyrus-imapd cyrus-imapd-utils \ 
cyrus-sasl cyrus-sasl-plain 


78.3. Procedimientos. 

En la mayoría de los casos Cyrus IMAP funcionará sin modificar sus archivos de configuración. Los 
valores predeterminados permiten un funcionamiento normal y estándar. 

Se debe asignar una clave de acceso para el usuario administrador de Cyrus IMAP, a fin de impedir accesos 
no autorizados al intérprete de mandatos de administración. Ejecute passvvd con cyrus como argumento: 

passwd cyrus 

Si estuviese activo y en ejecución el servicio dovecot, ejecute lo siguiente: 
service dovecot status && service dovecot stop 

Y también elimine éste de los servicios de arranque del sistema. 
chkconfig dovecot off 


Durante los procedimientos descritos en el documento titulado «Configuración básica de Sendmail» debió 
haberse configurado, anadido a los servicios de arranque del sistema e iniciado el servicio saslauthd que es 
necesario para poder autenticar los usuarios del sistema a través de Cyrus IMAP. Ejecute lo siguiente para 
verificar lo anterior y activar e iniciar el servicio si fuese necesario: 


service saslauthd status | | \ 
chkconfig saslauthd on | | \ 
service saslauthd start 


Elimine el certificado de prueba. 


rm -f /etc/pki/cyrus-imapd/cyrus-imapd.pem 


Durante los procedimientos del documento titulado «Configuración básica de Sendmail» debió haberse 
creado el archivo /etc/pki/tls/certs/sendmail.pem. Copie éste como el archivo /etc/pki/cyrus-imapd/cyrus- 
imapd.pem: 
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cp -a /etc/pki/tls/certs/sendmail.pem \ 
/etc/pki/cyrus-imapd/cyrus-imapd.pem 


El archivo resultante debe ser propiedad del usuario cyrus y el grupo root. 

chown cyrus:root /etc/pki/cyrus-imapd/cyrus-imapd.pem 

Cambie los permisos a lectura y escritura para el usuario cyrus y sólo lectura el grupo root y: 

chmod 640 /etc/pki/cyrus-imapd/cyrus-imapd.pem 
Edite el archivo /etc/imapd.conf: 
vi /etc/imapd.conf 


Verifique sea correcta la ruta del archivo cyrus-imapd.pem definida para los valores de las opciones tls cert file 
y tls_key_file: 


configdirectory: /var/lib/imap 
partition-default: /var/spool/imap 
admins: cyrus 

sievedir: /var/lib/imap/sieve 
sendmail: /usr/sbin/sendmail 
hashimapspool: true 
sasl_pwcheck_method: saslauthd 
sasl_mech_list: PLAIN 

tls_cert_file: /etc/pki/cyrus-imapd/cyrus-imapd.pem 
tls_key„file: /etc/pki/cyrus-imapd/cyrus-imapd.pem 

tls_ca_file: /etc/pki/tls/certs/ca-bundle.crt 

# uncomment this if you're operating in a DSCP environment (RFC-4594) 

# qosmarking: afl3 


Desactive la opción tls_ca_file si se carece del archivo con el certificado de la Autoridad Certificadora (CA) con 
al que fueron creados los certificados. Esta opción sólo se utiliza si adquirió un certificado con VeriSign, 
Comodo, Geotrust, etc. o bien si se creo previamente una CA y se generó el certificado con ésta. Si deja 
habilitada la opción sin tomar en cuenta lo anterior, fallará invariablemente la validación de certificado del lado 
del cliente cuando se acceda de manera remota utilizando STARTTLS con IMAP o POP3. 


Para resumir lo anterior: la opción tls_ca_file indicará a Cyrus IMAP que los clientes de correo que utilicen 
STARTTLS deben validar el certificado definido con la opción tls_cert_file utilizando el certificado de la CA que 
se haya especificado. 


configdirectory: /var/lib/imap 
partition-default: /var/spool/imap 
admins: cyrus 

sievedir: /var/lib/imap/sieve 
sendmail: /usr/sbin/sendmail 
hashimapspool: true 
sasl_pwcheck_method: saslauthd 
sasl_mech_list: PLAIN 

tls_cert_file: /etc/pki/cyrus-imapd/cyrus-imapd.pem 
tls_key_file: /etc/pki/cyrus-imapd/cyrus-imapd.pem 

# tls„ca file: /etc/pki/tls/certs/ca-bundle.crt 

# uncomment this if you're operating in a DSCP environment (RFC-4594) 

# qosmarking: afl3 
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Se crearán automáticamente el buzón de correo del usuario cuando éste autentique por primera vez a través de 
P03 o IMAP. Sin embargo, si se envía un mensaje de correo electrónico antes de que lo anterior ocurra, el 
mensaje rebotaría pues el buzón sería inexistente. Anada la opción createonpost con el valor yes para crear 
automáticamente el buzón de correo del usuario al recibir un primer mensaje: 


configdirectory: /var/lib/imap 
partition-default: /var/spool/imap 
admins: cyrus 

sievedir: /var/lib/imap/sieve 
sendmail: /usr/sbin/sendmail 
hashimapspool: true 
sasl_pwcheck_method: saslauthd 
sasl_mech_list: PLAIN 

tls_cert_file: /etc/pki/cyrus-imapd/cyrus-imapd.pem 
tls_key_file: /etc/pki/cyrus-imapd/cyrus-imapd.pem 

# tls_ca_file: /etc/pki/tls/certs/ca-bundle.crt 

# uncomment this if you're operating in a DSCP environment (RFC-4594) 

# qosmarking: afl3 

createonpost: yes 


Si va a utiliza Postfix, éste rechazará automáticamente el correo dirigido hacia cuentas inexistentes. Si va a 
utilizar Sendmail como MTA, deshabilite la opción anterior después de concluir el alta de usuarios y las pruebas, 
a menos que configure el servidor de correo electrónico para rechazar los mensajes hacia cuentas inexistentes 
anadiendo @dominio.com error:nouser en el archivo /etc/mail/virtusertable como se muestra el documento 
titulado «Configuración avanzada de Sendmail». 


Ahada las opciones autocreateinboxfolders y autosubscribeinboxfolders, utilizando como valor para ambas 
Archives|Drafts|Junk|Sent|Trash para definir que se genere automáticamente este juego de carpetas IMAP 
para cada nuevo buzón. Ejemplo: 


configdirectory: /var/lib/imap 
partition-default: /var/spool/imap 
admins: cyrus 

sievedir: /var/lib/imap/sieve 
sendmail: /usr/sbin/sendmail 
hashimapspool: true 
sasl_pwcheck_method: saslauthd 
sasl_mech_list: PLAIN 

tls_cert_file: /etc/pki/cyrus-imapd/cyrus-imapd.pem 
tls_key_file: /etc/pki/cyrus-imapd/cyrus-imapd.pem 

# tls_ca_file: /etc/pki/tls/certs/ca-bundle.crt 

# uncomment this if you're operating in a DSCP environment (RFC-4594) 

# qosmarking: afl3 
createonpost: yes 

autocreateinboxfolders: Archives|Drafts|Junk|Sent|Trash 
autosubscribeinboxfolders: Archives|Drafts|Junk|Sent|Trash 


Anada las siguientes líneas resaltadas para hacer que los nuevos buzones tengan automáticamente una cuota 
de 1048576 kB, se envíen mensajes de advertencia al alcanzar el 90% de la capacidad y que se impida recibir 
más correo después de alcanzar al 100% de la cuota disponible: 
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configdirectory: /var/lib/imap 
partition-default: /var/spool/imap 
admins: cyrus 

sievedir: /var/lib/imap/sieve 
sendmail: /usr/sbin/sendmail 
hashimapspool: true 
sasl_pwcheck_method: saslauthd 
sasl_mech_list: PLAIN 

tls_cert_file: /etc/pki/cyrus-imapd/cyrus-imapd.pem 
tls_key_file: /etc/pki/cyrus-imapd/cyrus-imapd.pem 

# tls_ca_file: /etc/pki/tls/certs/ca-bundle.crt 

# uncomment this if you're operating in a DSCP environment (RFC-4594) 

# qosmarking: afl3 
createonpost: yes 

autocreateinboxfolders: Archives|Drafts|Junk|Sent|Trash 
autosubscribeinboxfolders: Archives|Drafts|Junk|Sent|Trash 

autocreatequota: 1048576 
unixhierarchysep: yes 
quotawarn: 90 

lmtp_over_quota_perm failure: 1 


Sieve es el programa utilizado por Cyrus IMAP para hacerse cargo de la filtración de mensajes, es decir es un 
sustituto para Procmail, el cual carece de soporte para LMTP. Afiada la opción anysievefolder con le valor 
yes para crear automáticamente cualquier carpeta solicitada por Sieve: 


configdirectory: /var/lib/imap 
partition-default: /var/spool/imap 
admins: cyrus 

sievedir: /var/lib/imap/sieve 
sendmail: /usr/sbin/sendmail 
hashimapspool: true 
sasl_pwcheck_method: saslauthd 
sasl_mech_list: PLAIN 

tls_cert_file: /etc/pki/cyrus-imapd/cyrus-imapd.pem 
tls_key_file: /etc/pki/cyrus-imapd/cyrus-imapd.pem 

# tls_ca_file: /etc/pki/tls/certs/ca-bundle.crt 

# uncomment this if you're operating in a DSCP environment (RFC-4594) 

# qosmarking: afl3 
createonpost: yes 

autocreateinboxfolders: Archives|Drafts|Junk|Sent|Trash 
autosubscribeinboxfolders: Archives|Drafts|Junk|Sent|Trash 
autocreatequota: 1048576 
unixhierarchysep: yes 
quotawarn: 90 

lmtp_over_quota_perm_failure: 1 

anysievefolder: yes 


Afiada la opción virtdomains con el valor yes sólo si éste se utilizará para el hospedaje de dominios virtuales 
—es decir crear usuarios en el formato usuario@dominio o usuario%dominio\ 
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configdirectory: /var/lib/imap 
partition-default: /var/spool/imap 
admins: cyrus 

sievedir: /var/lib/imap/sieve 
sendmail: /usr/sbin/sendmail 
hashimapspool: true 
sasl_pwcheck_method: saslauthd 
sasl_mech_list: PLAIN 

tls_cert_file: /etc/pki/cyrus-imapd/cyrus-imapd.pem 
tls_key_file: /etc/pki/cyrus-imapd/cyrus-imapd.pem 

# tls_ca_file: /etc/pki/tls/certs/ca-bundle.crt 

# uncomment this if you're operating in a DSCP environment (RFC-4594) 

# qosmarking: afl3 
createonpost: yes 

autocreateinboxfolders: Archives|Drafts|Junk|Sent|Trash 
autosubscribeinboxfolders: Archives|Drafts|Junk|Sent|Trash 
autocreatequota: 1048576 
unixhierarchysep: yes 
quotawarn: 90 

lmtp_over_quota_perm_failure: 1 
anysievefolder: yes 

virtdomains: yes 


Anada la opción defaultdomain usando como valor el nombre del dominio principal del servidor si se trata de 
un escenario con un único dominio virtual: 


configdirectory: /var/lib/imap 
partition-default: /var/spool/imap 
admins: cyrus 

sievedir: /var/lib/imap/sieve 
sendmail: /usr/sbin/sendmail 
hashimapspool: true 
sasl_pwcheck_method: saslauthd 
sasl_mech_list: PLAIN 

tls_cert_file: /etc/pki/cyrus-imapd/cyrus-imapd.pem 
tls_key_file: /etc/pki/cyrus-imapd/cyrus-imapd.pem 

# tls_ca_file: /etc/pki/tls/certs/ca-bundle.crt 

# uncomment this if you're operating in a DSCP environment (RFC-4594) 

# qosmarking: afl3 
createonpost: yes 

autocreateinboxfolders: Archives|Drafts|Junk|Sent|Trash 
autosubscribeinboxfolders: Archives|Drafts|Junk|Sent|Trash 
autocreatequota: 1048576 
unixhierarchysep: yes 
quotawarn: 90 

lmtp_over_quota_perm_failure: 1 
anysievefolder: yes 
virtdomains: yes 

defaultdomain: dominio.com 


Esta opción adjuntará automáticamente @dominio.com a cualquier usuario que intente autenticar sin dominio. 
Ejemplo: si quiere autenticar con la cuenta fulano , deberá hacerlo como fulano@dominio.com. 

Pude definir varios administradores para gestionar cada dominio coo se muestra en el siguiente ejemplo: 
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configdirectory: /var/lib/imap 
partition-default: /var/spool/imap 

admins: cyrus usuario@otrodominio.com usuario@otrodominio.net 

sievedir: /var/lib/imap/sieve 
sendmail: /usr/sbin/sendmail 
hashimapspool: true 
sasl_pwcheck_method: saslauthd 
sasl_mech_list: PLAIN 

tls_cert_file: /etc/pki/cyrus-imapd/cyrus-imapd.pem 
tls_key_file: /etc/pki/cyrus-imapd/cyrus-imapd.pem 

# tls_ca_file: /etc/pki/tls/certs/ca-bundle.crt 

# uncomment this if you're operating in a DSCP environment (RFC-4594) 

# qosmarking: afl3 
createonpost: yes 

autocreateinboxfolders: Archives|Drafts|Junk|Sent|Trash 
autosubscribeinboxfolders: Archives|Drafts|Junk|Sent|Trash 
autocreatequota: 1048576 
unixhierarchysep: yes 
quotawarn: 90 

lmtp_over_quota_perm_failure: 1 
anysievefolder: yes 
virtdomains: yes 
defaultdomain: dominio.com 


El usuario cyrus — y cualquier otro que carezca de dominio— será anadido automáticamente al dominio 
predeterminado. Los usuarios que formen parte de dominio.com deberán autenticar a través de POP3 o IMAP 
sin utilizar @dominio.com. El resto de los usuarios deberá especificar el dominio al que pertenezcan. En este 
mismo escenario el usuario cyrus deberá autenticar a través de cyradm — la herramienta de administración de 
Cyrus IMAP— como cyrus@dominio.com. 

Inicie el servicio: 


service cyrus-imapd start 
Active el servicio en todos lo niveles de ejecución: 
chkconfig cyrus-imapd on 

78.3.1. Integración con Sendmail. 

Los siguientes procedimientos requieren primero haber configurado exitosamente Sendmail. Por favor realice o 
verifique los procedimientos descritos en el documento titulado «Configuración básica de Sendmail». 

Edite el archivo /etc/mail/sendmail.mc: 


vim /etc/mail/sendmail.mc 


Para hacer que el correo que llega a través de Sendmail sea almacenado en su totalidad en los buzones de 
Cyrus IMAP a través de LMTP (Local Mail Transfer Protocol o Protocolo de trasferencia de correo local, 
descrito en el RFC 2033), es necesario descomentar/agregar las siguientes líneas resaltadas en el archivo 
/etc/mail/sendmail.mc — están alrededor del la línea 111. 


dnl # the following 2 definitions and activate below in the MAILER section the 
dnl # cyrusv2 mailer. 
dnl # 

define('confLOCAL_MAILER 1 , 'cyrusv2' )dnl 

define('CYRUSV2_MAILER ARGS', FILE /var/lib/imap/socket/lmtp' )dnl 

dnl # 

dnl # The following causes sendmail to only listen on the IPv4 loopback address 
dnl # 127.0.0.1 and not on any other network devices. Remove the loopback 
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Habilite también la línea que contiene MAILER(cyrusv2)dnl. La encontrará al final del archivo 

/etc/mail/sendmail.mc, justo debajo de MAILER(procmail)dnl. 


dnl MASQUERADE_DOMAIN(mydomain.lan)dnl 

MAILER(smtp)dnl 

MAILER(procmail)dnl 

MAILER(cyrusv2)dnl 


Reinicie el servicio sendmail para que surtan efecto los cambios: 


service sendmail restart 


78.3.2. Integración con Postfix. 

Edite al archivo /etc/postfix/main.cf: 

vi /etc/postfix/main.cf 
Anada las siguientes 2 líneas: 

mailbox„transport = lmtp:unix:/var/lib/imap/socket/lmtp 
virtual_transport = lmtp:unix:/var/lib/imap/socket/lmtp 

O bien ejecute lo siguiente: 

postconf -e 'mailbox_transport = lmtp:unix:/var/lib/imap/socket/lmtp' 
postconf -e 'virtual_transport = lmtp:unix:/var/lib/imap/socket/lmtp' 

Reinicie el servicio postfix para que surtan efecto los cambios: 
service postfix restart 


78.3.3. Administración de buzones. 

El paquete de Cyrus IMAP distribuido con ALDOS, CentOS, Fedora™ y Red Hat™ Enterprise Linux incluye 
un parche que permite crear automáticamente los buzones de los usuarios con el primer ingreso al sistema a 
través de POP3 o IMAP. Ésto hace que la integración al sistema sea prácticamente tan transparente como lo es 

con Dovecot. 

Ejecute lo siguiente para acceder hacia el intérprete de mandatos de administración de Cyrus IMAPD — 
cyradm — sólo si necesita administrar buzones de correo: 


cyradm --user cyrus --auth plain localhost 


Lo anterior fallará si configuró el soporte para dominios virtuales. Si así fue el caso, ejecute lo siguiente donde 
dominio.com corresponde al dominio predeterminado especificado como valor de la opción defaultdomain del 
archivo /etc/imapd.conf: 

cyradm --user cyrus@dominio.com --auth plain localhost 
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Deberá crear manualmente los buzones de los usuarios manualmente si utiliza paquetes de Cyrus IMAP que 
carecen de función para auto-crear éstos —como sería el caso para los paquetes RPM oficiales para CentOS 7 
y Red hat Enterprise Linux 7. Ejecute createmailbox utilizando como argumentos la palabra user, una diagonal 
y el nombre del usuario para crear manualmente el buzón de éste. En el siguiente ejemplo se crea 
manualmente el buzón del usuario fulano: 


createmailbox user/fulano 


En el siguiente ejemplo se crearán manualmente los buzones para los usuario mengano, perengano y zutano: 


createmailbox user/mengano 
createmailbox user/perengano 
createmailbox user/zutano 


La asignación de quotas se hace ejecutando setquota utilizando como argumentos la palabra user, una 
diagonal, el nombre del usuario y la cantidad de espacio de almacenamiento a asignar en kilobytes. En el 
siguiente ejemplo se asigna una cuota de 2097152 kB (2 GiB) al usuario fulano: 


setquota user/fulano 2097152 


En el siguiente ejemplo se asigna una cuota de 2097152 kB para los buzones de los usuarios mengano, 
perengano y zutano: 


setquota user/mengano 2097152 
setquota user/perengano 2097152 
setquota user/zutano 2097152 


Para eliminar la cuota al usuario se ejecuta setquota utilizando como argumentos la palabra user, una diagonal 
y el nombre del usuario y la cadena de texto none. En el siguiente ejemplo se elimina la cuota al usuario 
zutano: 


setquota user/zutano none 


Ejecute listquotaroot utilizando como argumentos la palabra user, una diagonal y el nombre del usuario para 
consultar la información del estado de la cuota de un usuario. En el siguiente ejemplo se consulta la información 
de estado de quota para el usuario fulano 


listquotaroot user/fulano 


Lo anterior puede devolver una salida similar a la siguiente: 


user/fulano STORAGE 0/1048576 (0%) 


Para poder eliminar un buzón, primero se requiere asignar privilegios de eliminación al administrador de Cyrus 
IMAP, ejecutando setaclmailbox utilizando como argumentos la palabra user, una diagonal, el nombre del 
usuario, cyrus y la letra d. En el siguiente ejemplo se otorgan al administrador de Cyrus IMAP privilegios de 
eliminación sobre el buzón del usuario fulano: 


setaclmailbox user/fulano cyrus d 


Para listar todos los buzones disponibles ejecute lo siguiente: 
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listaclmailbox user/% 


Lo anterior puede devolver una salida similar a la siguiente: 


user/fulano: 

fulano lrswipkxtecda 
user/mengano: 

mengano lrswipkxtecda 
user/perengano: 

perengano lrswipkxtecda 
user/zutano: 

zutano lrswipkxtecda 


Permite mostrar el nombre del buzón, pero jamás su contenido. 


r 


Permite leer contenidos del buzón. 


s 


Preserva los estádos de «visto» y «reciente» de los mensajes entre sesiones IMAP. 


w 


Permite escritura y cambiar las banderas como serían «reciente», «respondido» y «borrador». 


Permite insertar (mover o copiar) unmensaje dentro del buzón. 


P 


Permite publicar un mensaje en el buzón enviando el mensaje hacia dirección de destinatario del buzón. 


c 


Permite crear un nuevo buzón debajo del nivel superior. Los usuarios regulares tienen denegado crear 
nuevos buzones en el nivel superior. 


d 


permite eliminar un mensaje o bien el buzón completo. 


a 


Otorga privilegios de administrar las listas de contrll de acceso del buzón. 

Para listar las carpetas IMAP disponibles debajo del buzón de un usuario en particular, ejecute algo similar a lo 
siguiente: 


listaclmailbox user/fulano/% 
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Lo anterior puede devolver una salida similar a la siguiente: 


user/fulano/Archives: 

fulano lrswipkxtecda 
user/fulano/Drafts: 

fulano lrswipkxtecda 
user/fulano/Junk: 

fulano lrswipkxtecda 
user/fulano/Sent: 

fulano lrswipkxtecda 
user/fulano/Trash: 
fulano lrswipkxtecda 


Ejecute deletemailbox utilizando como argumentos la palabra user, una diagonal y el nombre del usuario para 
eliminar un buzón. En el siguiente ejemplo se elimina el buzón del usuario fulano. 


deletemailbox user/fulano 


Ejecute listmailbox para mostrar la lista de buzones existentes. Para salir del intérprete de mandatos de 
administración, sólo ejecute exit. 


m 


Nota. 


En el caso en que se haya decidido utilizar métodos cifrados (CRAM-MD5 y DIGEST-MD5), puede mostrarse la lista de 
los usuarios con clave de acceso através de SASL-2 utilizando sasldblistusers2. 


78.3.4. Iniciar, detener y reiniciar el servicio cyrus-imapd. 

Ejecute lo siguiente para hacer surtan efecto los cambios hechos a la configuración del servicio cyrus-imapd 
surtan efecto: 

service cyrus-imapd restart 

Para iniciar el servicio cyrus-imapd cuando éste fue previamente detenido, ejecute lo siguiente: 
service cyrus-imapd start 

Ejecute lo siguiente para detener el servicio cyrus-imapd: 
service cyrus-imapd stop 

78.3.5. Agregar el servicio cyrus-imapd al arranque del sistema. 

Para hacer que el servicio de cyrus-imapd esté activo con el siguiente inicio del sistema, en todos los niveles 
de ejecución (2, 3, 4 y 5), ejecute lo siguiente: 

chkconfig cyrus-imapd on 

78.4. Comprobaciones. 

Envíe un mensaje de correo electrónico utilizando a cualquier usuario del sistema. 
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echo "Hola. Este es un mensaje de prueba"|mail -s "Prueba" fulano 

Establezca una conexión entre el cliente y el servidor a través de POP3 ejecutando lo siguiente: 

openssl s_client -crlf -connect 127.0.0.1:110 -starttls pop3 


Autentique y realice una operación de lectura de correo electrónico como se muestra a continuación: 


Servidor: 

Cliente: 
Servidor: 

Cliente: 
Servidor: 

Cliente: 
Servidor: 

Cliente: 
Servidor: 


Cliente: 
Servidor: 


Cliente: 
Servidor: 


+0K localhost.localdomain Cyrus P0P3 v2.3.18-Fedora-RPM-2.3.18-1.fcl4.al server ready. 

user fulano 

+0K 

pass contraseha de fulano 

+0K Logged in. 

stat 

+0K 1 728 

list 

+0K 1 messages: 

1 728 

retr 1 

+0K 728 octets 

Return-Path: <fulano@localhost.localdomain> 

Received: from localhost.localdomain (localhost.localdomain [192.168.1.254]) 
by localhost.localdomain (8.13.1/8.13.1) with SMTP id k2IM2RjA003987 
for <root@localhost.localdomain>; Sat, 18 Mar 2006 16:03:21 -0600 
Date: Sat, 18 Mar 2006 16:02:27 -0600 

Message-Id: <200603182203.k2IM2RjA003987@Localhost.localdomain> 

Subject: Mensaje de prueba 
F rom: fulano@localhost.localdomain 
To: root@localhost.localdomain 
Status: 0 

Content-Length: 43 
Lines: 2 
X-UID: 202 
X-Keywords: 

HoLa. Este es un mensaje de prueba. 

Adios. 

quit 

+0K Logging out. 

Connection closed by foreign host. 


Puede realizarse la misma prueba para comprobar la conectividad a través POP3 con SSL ejecutando lo 
siguiente: 

openssl s_client -connect 127.0.0.1:995 

Para comprobar la conectividad a través de IMAP con TLS, ejecute lo siguiente: 

openssl s_client -crlf -connect 127.0.0.1:143 -starttls imap 

Realice los ejemplos de conexión para IMAP descritos en el documento titulado «Introducción a los 
protocolos de correo electrónico ». 

Puede realizarse la misma prueba para comprobar la conectividad a través de IMAP con SSL ejecutando lo 
siguiente: 
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openssl s_client -connect 127.0.0.1:993 


78.5. Modificaciones necesarias en el muro cortafuegos. 

Como medida de seguridad, siempre abra los puertos del cortafuegos sólo hasta después de finalizar la 
configuración del servidor de correo electrónico y que sólo hasta que haya comprobado las configuraciones. 


Se requiere haber abierto previamente los puertos 25 (smtp), 465 (smtps) y 587 (submission) utilizados por 
Sendmail y que debieron haber sido configurados siguiendo los procedimientos del documento titulado 

«Configuración básica de Sendmail ». 


Para el funcionamiento normal de un servicio de correo electrónico estándar, es necesario abrir también los 
puertos 110 (pop3), 143 (imap), 993 (imaps) y 995 (pop3s), todos porTCP. 

78.5.1. Servicio iptables. 

Ejecute lo siguiente: 


iptables -A 

INPUT -m 

state 

--state 

NEW -m 

tcp 

-P 

tcp 

- -dport 

110 

-3 

ACCEPT 

iptables -A 

INPUT -m 

state 

--state 

NEW -m 

tcp 

-P 

tcp 

- -dport 

143 

-3 

ACCEPT 

iptables -A 

INPUT -m 

state 

--state 

NEW -m 

tcp 

-P 

tcp 

- -dport 

993 

-3 

ACCEPT 

iptables -A 

INPUT -m 

state 

--state 

NEW -m 

tcp 

-P 

tcp 

- -dport 

995 

-3 

ACCEPT 


Ejecute lo siguiente para guardar los cambios: 


service iptables save 


O bien anada lo siguiente al archivo /etc/sysconfig/iptables: 


-A 

INPUT -m 

state 

--state 

NEW -m 

tcp 

-P 

tcp 

- -dport 

110 

-3 

ACCEPT 

-A 

INPUT -m 

state 

--state 

NEW -m 

tcp 

-P 

tcp 

- -dport 

143 

-3 

ACCEPT 

-A 

INPUT -m 

state 

--state 

NEW -m 

tcp 

-P 

tcp 

- -dport 

993 

-3 

ACCEPT 

-A 

INPUT -m 

state 

--state 

NEW -m 

tcp 

-P 

tcp 

- -dport 

995 

-3 

ACCEPT 


Reinicie el servicio para aplicar los cambios: 


service iptables restart 


78.5.2. Shorewall. 

Edite el archivo /etc/shorewall/rules: 


vi /etc/shorewall/rules 


Las reglas corresponderían a algo similar a lo siguiente: 


#ACTI0N 

SOURCE 

DEST 

PROTO 

DEST SOURCE 





PORT PORT(S) 

ACCEPT 

all 

fw 

tcp 

25,465,587 

ACCEPT 

all 

fw 

tcp 

110,143,993,995 


Ejecute lo siguiente para aplicar los cambios: 


735 









Joel Barrios Duenas 


Configuración de Servidores con GNU/Linux 


service shorewall restart 

78.6. Configuración de clientes. 

78.6.1. Configuración de GNOME Evolution. 

Para GNOME Evolution la configuración de IMAP o POP3 se realiza seleccionando el tipo de servidor, 
definiendo el nombre del servidor utilizado para crear el certificado, nombre de usuario y usar encriptación 
segura TLS. 



Configuración IMAP, en GNOME Evolution. 

Se hace lo mismo para la configuración de SMTP (utilizar conexión segura TLS), pero considerando además 
que también se puede utilizar el puerto 587 (submission) en caso de que el proveedor de acceso a Internet del 
cliente haya restringido el uso del puerto 25 (smtp). 
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Configuración SMTP, GNOME Evolution. 

78.6.2. Configuración Mozilla Thunderbird. 

Inicie el asiste de configuración de nueva cuenta de correo electrónico. 

Defina su nombre completo, dirección de correo electrónico y contrasena. Al terminar pulse el botón Continuar. 
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Thunderbird intentará buscar si su servidor de correo está en la base de datos de proveedores conocidos. 


• ConHguracion de cuenta de correo 


Sunombre: )oel Barnos ur.oi i'" mo «e mu‘.tr»r. 

Correo electróruco: |bamos@m64.elcancelibrex 

Contrasefta: •••••••••••• 

S Secordar contrasefía 

Buscando conttyuraciòn: Proveedor de correo electrOnico C 


Qbtener una nuev» cuenta Conhguraciòn manu&l Qeterver Cfcncelar 


Thunderbird debe detectar soporte para IMAP, POP3 y SMTP. Todo con STARTTLS. haga clic en el botón de 
Finalizado. 
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• Confiquracion de ojent.i de correo 


Su QOmbr«: | joel Barnos Su nombro. como m la mostrar* al resto 

Correo e|ectrónico: ' jbarnos@m64 alcancelibre.c 
£ontraserta: •# eeeeeeeeee 

8 Recordar contrasena 

Las siguientes conhguriciones fueron encontradas intentancfo n omoírês oe servidor comunes 

8 IMAP (carpetas remotas) POP3 (mantener correo en su computadora) 

IMAP. m64.alcancelibre.org.mx. STARTTLS 
SMTP. m64.a!cance!ibre.org.mx, STARTTLS 

i.mtO».*. ...... jbarnos 


Qbtener una nueva cuenta Configuracion manual Cfincelar F-inalizailo 


Aparecerá un diálogo parta gestionar la excepción de seguridad debido al certificado auto-firmado. Haga clic en 
el botón Confirmar excepción de seguridad. 


Agregar excepcion de seguridad 


O Va a modificar la forma en que Thunderbird identifica este sitio. 

Bancos, comercios y otros sitios piiblicos legítimos no le 
pedirán que haga ésto. 

Servidor 

Ubicación: h"> 6 4.alcancelibre.org.mx:143 


Estado de certificado 

Este sitio intenta identificarse con información inválida. 

Identidad desconocida 


Ver. 


El certificado no es confiable porque no ha sido verificado por una 
autoridad reconocida usando una firma segura. 


9 Guardar permanentemente esta excepción 

£onftrmar excepción de segundad 


(ÇjCancelar 
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Si decide configurar manualmente la cuenta, defina el nombre del servidor utilizado para crear el certificado, 
usuario y utilice conexión segura con STARTTLS. 



Configure las opciones de correo basura. Habilite la casilla ara confiar en las cabeceras de SpamAssassin y 
seleccione la carpeta donde se almacenara el correo basura. 
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Se hace lo mismo para la configuración de SMTP (utilizar STARTTLS), pero considerando además que también 
se puede utilizar el puerto 587 (submission) en caso de que el proveedor de acceso a Internet del cliente haya 
restringido el uso del puerto 25 (smtp). 


Servidor SMTP 


Opciones 

Descripción: 


nn64.alcancelibre.org.mxj 


Nombre del servidor: m64.alcancelibre.org,mx 
Puerto: 


587 C Predetefrhinado: 587 


Seguridad y autenticación 

Seguridad de la conexión: STAPTTLS 


Método de autenticación: Contrasena normal 
Nombre de usuario: jbarrios 


^jCancelar Aceptar 
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Por favor continúe con el documento titulado «Optimización y procedimientos de emergencia de Cyrus 
IMAP ». 
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79. Optimización y procedimientos de emergencia de 
Cyrus IMAP. 

Autor: Joel Barrios Duehas 

Correo eìectrónico: darkshram@gmail.com 
sitio de Red: http://www.alcancelibre.org/ 


Creative Commons Reconocimiento-NoComercial-Compartirlgual 2.1 


© 1999-2016 Joel Barrios Duenas. Usted es libre de copiar, distribuir y comunicar públicamente la obra y hacer obras derivadas bajo las condiciones siguientes: a) 
Debe reconocer y citar al autor original. b) No puede utilizar esta obra para fines comerciales. c) Si altera o transforma esta obra o genera una obra derivada, sólo 
puede distribuir la obra generada bajo una licencia idéntica a ésta. Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. 
Alguna de estas condiciones puede no aplicarse si se obtiene el permiso del titular de los derechos de autor. Los derechos derivados de usos legítimos u otras 
limitaciones no se ven afectados por lo anterior. La información contenida en este documento y los derivados de éste se proporcionan tal cual son y los autores no 
asumirán responsabilidad alguna si el usuario o lector hace mal uso de éstos. 


79.1. Introducción. 

Este documento requiere haber configurado exitosamente Cyrus IMAP como se muestra en el documento 
titulado «Configuración de Cyrus IMAP con soporte SSL/TLS». 

79.2. Optimización. 

79.2.1. Herramienta squatter. 

Los índices SQUAT consisten en archivos índice unificados de todas las cabeceras y cuerpos de mensaje de un 
buzón determinado. Su presencia reduce considerablemente los tiempos de búsqueda IMAP de los buzones 
mejorando sensiblemente el desempeho. Se recomienda para buzones muy activos o bien aquellos que 
almacenan grandes cantidades de correo. La herramienta squatter que incluye Cyrus IMAP permite crear 
nuevos índices SQUAT para uno o más buzones. 

La ausencia de índices SQUAT en un buzón muy activo o muy grande generará entradas en los registros de 
sistema similares a los siguientes: 


Jan 18 03:21:16 servidor imaps[37342]: SQUAT failed to open index file 
Jan 18 03:21:16 servidor imaps[37342]: SQUAT failed 


Cada vez que se ejecuta squatter se generará siempre un nuevo índice SQUAT que incluirá todas las 
cabeceras y cuerpos de todos los mensajes. Cabe senalar que carece de soprot epara generar índices 
incrementales. Todos los mensajes nuevos que llegan al buzón después de generarse un índice SQUAT estarán 
excluidos de éste hasta la siguiente ocasión que se vuelva a ejecutar squatter. Estos mensajes excluidos del 
índice SQUAT podrán ser buscados sin problema, pero de manera más lenta. Es por lo anterior que se 
recomienda ejecutar periódicamente squatter, sobre todo con buzones muy activos y de gran tamano. 

Para configurar la ejecución periódica de squatter sólo es necesario anadir dos tareas. Una tarea que ejecute 
squatter —con baja prioridad— cada cierta cantidad de minutos sobre aquellos buzones cuyo índice SQUAT 
sea más viejo que el índice del buzón y otra tarea que regenere los índices diariamente a una hora que tenga 
poco uso sel servicio de correo. 

Basado sobre lo anterior, edite el archivo /etc/cyrus.conf: 
vi /etc/cyrus.conf 


Anada a la sección de eventos las siguiente líneas resaltadas: 
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EVENTS { 

# this is required 

checkpoint cmd="ctl_cyrusdb -c" period=30 

# this is only necessary if using duplicate delivery suppression, 

# Sieve or NNTP 

delprune cmd="cyr_expire -E 3" at=0400 

# this is only necessary if caching TLS sessions 

tlsprune cmd="tls_prune" at=0400 

# Regenerar cada 120 minutos de manera descendente todos los indices de 

# todos los buzones, excepto los de aquellos cuyo archivo indice es más 

# viejo que el índice SQUAT. Lo anterior usando baja prioridad de recursos 

# de sistema 

squatterUpdate cmd="ionice -c 3 nice -n 19 squatter -s -r *" period=120 

# Regenerar de manera descendente todos los índices diario a las 5 AM 
squatterFull cmd="squatter -r *" at=0500 


Guarde los cambios y salga del editor de texto. 

Ejecute lo siguiente para generar un enlace simbólico dentro de /usr/lib/cyrus-imapd/ que apunte hacia 

/usr/bin/ionice: 


ln -s /usr/bin/ionice /usr/lib/cyrus-imapd/ 

Reinicie el servicio cyrus-impad para que surtan efecto los cambios: 

service cyrus-imapd restart 

79.2.2. Purgar automáticamente los buzones de papeleras y correo chatarra. 

Edite el archivo /etc/cyrus.conf: 

vi /etc/cyrus.conf 

Afiada a la sección de eventos las siguiente líneas resaltadas: 
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EVENTS { 

# this is required 

checkpoint cmd="ctl_cyrusdb -c" period=30 

# this is only necessary if usinq duplicate delivery suppression, 

# Sieve or NNTP 

delprune cmd="cyr_expire -E 3" at=0400 

# this is only necessary if caching TLS sessions 

tlsprune cmd="tls_prune" at=0400 

# Regenerar cada 120 minutos de manera descendente todos los indices de 

# todos los buzones, excepto los de aquellos cuyo archivo índice es más 

# viejo que el índice SQUAT. Lo anterior usando baja prioridad de recursos 

# de sistema 

squatterUpdate cmd="ionice -c 3 nice -n 19 squatter -s -r *" period=120 

# Regenerar de manera descendente todos los indices diario a las 5:00 AM 
squatterFull cmd="squatter -r *" at=0500 

# Purgar automáticamente todos los buzones de papeleras del correo anterior 

# a 14 dias, todos los días a las 2:00 AM. 

purgetrash cmd="ipurge -d 14 -f user/%/Trash" at=0200 

# Purgar automáticamente todos los buzones de Spam del correo anterior a 14 

# dias, todos los días a las 3:00 AM. 

purgejunk cmd="ipurge -d 14 -f user/%/Junk" at=0300 

} 


Reinicie el servicio cyrus-impad para que surtan efecto los cambios: 

service cyrus-imapd restart 


79.3. Procedimientos de emergencia. 

79.3.1. Reparar bases de datos de Cyrus IMAP. 

Cyrus IMAP utiliza bases de datos para su funcionamiento. Un apagado incorrecto del sistema, falla del 
suministro de energía o bien actualizar de la versión 2.3 a la 2.4 o de la 2.4 a la 2.5 puede ocasionar se 
corrompan éstas. En el caso de que ésto ocurra, puede apagar el servicio, borrar tranquilamente los archivos 
/var/lib/imap/tls_sessions.db, /var/lib/imap/deliver.db y el contenido de /var/lib/imap/db/ e iniciar de nuevo el 
servicio ejecutando lo siguiente: 


service cyrus-imapd stop 
rm -f /var/lib/imap/tls_sessions.db* 
rm -f /var/lib/imap/deliver.db* 
rm -f /var/lib/imap/db/* 
service cyrus-imapd start 


79.3.2. Reparar buzones. 

Es posible reconstruir fácilmente los buzones de un usuario en particular si éstos se danaron debido a la 
pérdida de datos ocasionada por un apagado incorrecto o el borrado accidental de archivos. 

Cambie al usuario cyrus ejecutando lo siguiente: 

su -1 cyrus -s /bin/bash 
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Ejecute lo siguiente asumiendo un caso hipotético donde se requiere reparar de manera descendente todos los 
buzones del usuario fulano: 

/usr/lib/cyrus-imapd/reconstruct -r user/fulano 


79.3.3. Actualizar versión. 

Actualizar de una versión 2.3.x a otra 2.3.x o bien de una 2.4.x a otra 2.4.x o bien de una 2.5.x a otra 2.5.x debe 
ser transparente y sin necesidad de realizar procedimiento alguno adicional. 

Si va a actualizar Cyrus-IMAP de la versión 2.3 a 2.4 o 2.5 o bien de la versión 2.4 a 2.5, es importante senalar 
que los formatos de las bases de datos cambian entre cada versión. Siga el siguiente procedimiento para evitar 
problemas. 

Detenga el servicio antes de actualizar de versión: 

service cyrus-imapd stop 


Actualice los paquetes correspondientes a Cyrus-IMAP de la forma que corresponda a su sistema operativo o 
método de instalación. 

Cambie al usuarios cyrus: 

su -1 cyrus -s /bin/bash 


m 


Nota. 


Si actualiza desde las versión 2.3 o 2.4 a la versión 2.5, ésta utiliza última un nuevo formato optimizado para las bases 
de datos denominado twoskip, el cual reemplza al formato skiplist y berkely. Ejecute lo siguiente sólo si va a 
actualizar a la versión 2.5 desde las versiones 2.3 o 2.4: 


/usr/lib/cyrus-imapd/cvt_cyrusdb \ 

/var/lib/imap/annotations.db berkeley \ 
/var/lib/imap/annotations.db twoskip 

/usr/lib/cyrus-imapd/cvt_cyrusdb \ 

/var/lib/imap/deliver.db berkeley \ 
/var/lib/imap/deliver.db twoskip 

/usr/lib/cyrus-imapd/cvt_cyrusdb \ 

/var/lib/imap/mailboxes.db berkeley \ 
/var/lib/imap/mailboxes.db twoskip 

/usr/lib/cyrus-imapd/cvt_cyrusdb \ 

/var/lib/imap/statuscache.db berkeley \ 
/var/lib/imap/statuscache.db twoskip 

/usr/lib/cyrus-imapd/cvt_cyrusdb \ 

/var/lib/imap/tls_sessions.db berkeley \ 
/var/lib/imap/tls_sessions.db twoskip/span> 


Convierta el resto de las bases de datos de Cyrus-IMAP al formato oficial más reciente: 

/usr/lib/cyrus-imapd/cvt_cyrusdb_all 

Reconstruya todas las demás bases de datos correspondientes a los buzones ejecutando lo siguiente: 
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/usr/lib/cyrus-imapd/reconstruct -V max 

Repare las inconsistencias todas las bases de datos correspondientes a las cuotas de buzones ejecutando lo 
siguiente: 

/usr/lib/cyrus-imapd/quota -f 
Inicie de nuevo el servicio. 

service cyrus-imapd start 
El servicio debe operar normalmente. 
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80. Configuración avanzada de Sendmail. 

Autor: Joel Barrios Duehas 

Correo electrónico: darkshram@gmail.com 
sitio de Red: http://www.alcancelibre.org/ 


Creative Commons Reconocimiento-NoComercial-Compartirlgual 2.1 


© 1999-2016 Joel Barrios Duenas. Usted es libre de copiar, distribuir y comunicar públicamente la obra y hacer obras derivadas bajo las condiciones siguientes: a) 
Debe reconocer y citar al autor original. b) No puede utilizar esta obra para fines comerciales. c) Si altera o transforma esta obra o genera una obra derivada, sólo 
puede distribuir la obra generada bajo una licencia idéntica a ésta. Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. 
Alguna de estas condiciones puede no aplicarse si se obtiene el permiso del titular de los derechos de autor. Los derechos derivados de usos legítimos u otras 
limitaciones no se ven afectados por lo anterior. La información contenida en este documento y los derivados de éste se proporcionan tal cual son y los autores no 
asumirán responsabilidad alguna si el usuario o lector hace mal uso de éstos. 


80.1. Antes de continuar. 

Este documento requeire la lectura previa de los documentos titulados «Introducción a los protocolos de 
correo electrónico», «Configuración básica de Sendmail» y «Cómo configurar Sendmail y Dovecot con 
soporte SSL/TLS.» 

80.2. Usuarios Virtuales. 


Si se desea brindar un servicio de hospedaje de dominios virtuales, permitiendo que los usuarios envíen y 
reciban, correo electrónico, utilizando sus propios dominios, se deben anadir las siguientes opciones 

resaltadas, justo debajo de virtusertable del archivo /etc/mail/sendmail.mc: 


define('confT0_IDENT', '0')dnl 
dnl FEATURE(delay_checks)dnl 
FEATURE('no_default_msa', 'dnl')dnl 
FEATURE('smrsh', '/usr/sbin/smrsh')dnl 

FEATURE('virtusertable','hash -o /etc/mail/virtusertable.db’)dnl 
FEATURE('genericstable', hash -o /etc/mail/genericstable.db')dnl 
GENERICS DOMAIN_FILE('/etc/mail/generics-domains')dnl 

FEATURE(redirect)dnl 
FEATURE(always_add_domain)dnl 
FEATURE(use_cw_file)dnl 
FEATURE(use_ct_file)dnl 


Se generan tres archivos nuevos dentro del directorio /etc/mail: 


touch /etc/mail/virtusertable 
touch /etc/mail/genericstable 
touch /etc/mail/generics-domains 


El archivo /etc/mail/virtusertable sirve para definir qué cuentas virtuales de correo electrónico se entregan en 
ciertos buzones, de determinados usuarios. Edite el archivo /etc/mail/virtusertable: 


vim /etc/mail/virtusertable 


El formato de este archivo permite que la separación de columnas se haga con tabuladores, a fin de poder 
alinear los registros y poder tener todo mejor organizado. En el ejemplo a continuación, se entrega el correo de 
webmaster@dominiol.net en la cuenta mengano y el correo de webmaster@dominio2.com , en el buzón del 
usuario perengano: 


webmasteridominiol.net mengano 

webmasteridominio2.com perengano 
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Afíada el resto de los usuariso que conformarán el dominio: 


juan@dominiol 

net 

juan 

jose@dominiol 

net 

jose 

hugo@dominiol 

net 

hugo 

paco@dominiol 

net 

paco 

luis@dominiol 

net 

luis 

juan@dominio2 

com 

juan 

jose@dominio2 

com 

jose 

hugo@dominio2 

com 

hugo 

paco@dominio2 

com 

paco 

luis@dominio2 

com 

luis 


Para hacer que Sendmail rechace correctamente con un error 553 5.3.0 el correo electrónico dirigido hacia 
cualquier cuenta ausente en el archivo /etc/mail/virtusertables, anada lo siguiente: 


idominiol.net error:nouser No such user here 

idominio2.com error:nouser No such user here 


Para hacer que el correo electrónico del usuario mengano salga del servidor como webmaster@dominiol.net y 
que el del usuario perengano salga como webmaster@dominio2.com, es necesario definir en el archivo 

/etc/mail/genericstable, el contenido contrario del archivo /etc/mail/virtusertable. 


Genere el archivo /etc/mail/genericstable: 


touch /etc/mail/genericstable 


Edite el archivo /etc/mail/genericstable: 


vim /etc/mail/generictable 


Defina el contenido contrario del archivo en el archivo /etc/mail/virtusertable, del siguiente modo: 


mengano webmasteridominiol.net 

perengano webmasteridominio2.com 


Para efectos prácticos y salvo que se requiera que haya más de una cuenta virtual de correo electrónico 
para un mismo usuario o bien, que dos o más usuarios emitan mensajes con la misma cuenta de correo 
electrónico, se puede mantener sincronizados ambos archivos, trabajando directamente con 
/etc/mail/virtusertable, ejecutando el siguiente guión, el cual se encargará de pasar el texto desde el archivo 
/etc/mail/virtusertable, con el orden invertido de las columnas, hacia el archivo /etc/mail/genericstable. 


while read cuenta usuario garbage 
do 

echo -e "${usuario}\t${cuenta}" » /etc/mail/genericstable 
done < /etc/mail/virtusertable 

sed -i -e 's,error:nouser,#error:nouser,g' /etc/mail/genericstable 


El archivo /etc/mail/generics-domains debe contener prácticamente lo mismo que el archivo /etc/mail/local- 
host-names, más los dominios que vayan a ser gestionados como dominios virtuales. 


dominio.com 
dominiol.net 
dominio2.com 
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Invariablemente los archivos /etc/mail/virtusertable.db y /etc/mail/genericstable.db, deben actualizarse con 
el contenido de /etc/mail/virtusertable y /etc/mail/genericstable, respectivamente, cada vez que se realicen 
cualquier tipo de cambio . como actualizar, anadir o eliminar, cuentas de correo virtuales. 


for f in virtusertable genericstable 
do 

makemap hash /etc/mail/${f}.db < /etc/mail/${f} 
done 


80.3. Encaminamiento de dominios. 


Sendmail incluye soporte para realizar en re-encaminamiento de dominios de correo a través de la opción 
FEATURE('mailertable','hash -o /etc/mail/mailertable.db') que debe estar habilitado de modo predefinido 

en el archivo /etc/mail/sendmail.mc. Esta función permite a Sendmail realizar traducción de dominios, 
especificar un agente de entregay cambiar el encaminamiento establecido en un DNS. 

80.3.1. Redundancia del servidor de correo. 

Cuando se tiene un dominio de correo electrónico que recibe mucho tráfico, es conveniente establecer 
redundancia en el servicio para garantizar que el correo siempre será recibido y llegará a los buzones de correo 
hacia los que está destinado. 

Se requieren dos servidores de correo. Uno deberá estar registrado en la zona del dominio en el DNS como 
servidor de correo primario (mail.dominio.com) y otro deberá estar registrado en la zona del dominio en el 
DNS como servidor de correo secundario (mail2.dominio.com) a fin de contar con redundancia. 

^ Defina en la zona de DNS de dominio.com un servidor de correo primario (mail.dominio.com) y un servidor de correo 
secundario (mail2.dominio.com) 

2. Configure normalmente el servidor de correo primario (mail.dominio.com) para administrar el correo de dominio.com. 

Configure el servidor de correo secundario (mail2.dominio.com) del mismo modo, pero no aiïada dominio.com en el 

3. archivo /etc/mail/local-host-names ya que de otro modo el correo será tratado como local y jamas podrá ser 
entregado en el servidor de correo primario. 

4 Debe de estar listado dominio.com en el archivo /etc/mail/relay-domains en el servidor de correo secundario 

(mail2.dominio.com) a fin de permitir la retransmisión de éste hacia el servidor de correo primario (mail.dominio.com). 

En el servidor de correo secundario (mail2.dominio.com) modifique ei archivo /etc/mail/mailertable y defina que 
dominio.com será entregado en el servidor de correo primario utilizando el nombre plenamente resuelto en la zona del 
DNS. 

dominio.com smtp:mail.dominio.com 

5. 

Si io desea, puede especificar la dirección IP en lugar del nombre: 


dominio.com smtp:[172.16.1.50] 

6 Reinicie Sendmail 

service sendmail restart 

En adelante el correo de dominio.com será entregado normalmente y de primera instancia en el servidor de correo 

7 primario (mail.dominio.com), pero cuando éste, por alguna razón, se vea imposibilitado para recibir conexiones, el 
servidor de correo secundario (mail2.dominio.com) definido en la zona de DNS recibirá todo el correo de 
dominio.com y lo entregará en el servidor de correo primario (mail.dominio.com) cuando éste re-establezca 
operaciones normalmente. 


80.3.2. Servidor de correo intermediario. 
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Sendmail puede servir de intermediario de correo electrónico ya sea para filtrado de correo con un antivirus, 
equipamiento lógico para filtrado de correo chatarra o bien como intermediario entre una red pública y un 
servidor en red local. Se requieren dos servidores de correo. Uno que será el servidor de correo intermediario 
(proxy.dominio.com), que de forma obligatoria deberá estar definido en la zona de DNS del dominio como 
servidor de correo primario (un registro MX) y otro que servirá como servidor de correo de destino 
(mail.dominio.com). 

^ El servidor de correo que funcionará como intermediario (proxy.dominio.com) se configura normalmente, pero no 
aiïada dominio.com en el archivo /etc/mail/local-host-names ya que de otro modo el correo será tratado como local 
y jamas podrá ser entregado en el servidor de correo de destino (mail.dominio.com). 

2 Debe de estar listado dominio.com en el archivo /etc/mail/relay-domains en el servidor de correo intermediario 

. (proxy.dominio.com) a fin de permitir la retransmisión de éste hacia el servidor de correo primario (mail.dominio.com). 

3 La dirección P del servidor de destino (mail.dominio.com) debe estar listada en el archivo /etc/mail/access con 

. RELAY (retransmisión autorizada) del servidor de correo intermediario (proxy.dominio.com). 

4 La dirección P del servidor de intermediario (proxy.dominio.com) debe estar listada en el archivo /etc/mail/access 

. con RELAY (retransmisión autorizada) del servidor de correo de destino (mail.dominio.com). 

En el servidor de correo intermediario (proxy.dominio.com) modifique el archivo /etc/mail/mailertable y defina que 

5 dominio.com será entregado en el servidor de correo de destino (mail.dominio.com) utilizando el nombre FQDN (Fully 
Qualified Domain Name) y plenamente resuelto. 

dominio.com smtp:mail.dominio.com 

6 Si lo desea, puede especificar la dirección IP en lugar del nombre: 

dominio.com smtp:[172.16.1.50] 

En el servidor de correo de destino (mail.dominio.com), des-comente y defina proxy.dominio.com como valor para 

7 la opción define('SMART_HOST','smtp.your.provider'), de modo que proxy.dominio.com sea el servidor de 
retransmisión (smart host: 

define('SMART_HOST 1 ,'proxy.dominio.com 1 ) 

8 Reinicie Sendmail en ambos servidores de correo. 

service sendmail restart 


80.4. Verificando el servicio. 

Desde unaterminal, ejecute el mandato nc dirigido hacia el puerto 25 de la dirección IP principal del sistema: 

$ nc 192.168.0.254 25 

Si Sendmail está funcionando correctamente, se establecerá una conexión exitosa y deberá devolver una salida 
similar a la siguiente: 

Trying 172.16.1.50... 

Connected to nombre.dominio (172.16.1.50). 

Escape character is ,A ]'. 

220 nombre.dominio ESMTP Sendmail 8.13.1/8.13.1; Sun, 5 Mar 2006 21:45:51 -0600 

Ejecute el mandato HELO seguido del nombre del anfitrión: 

HELO nombre.dominio 

Obtendrá una salida similar a esta: 

250 nombre.dominio Hello nombre.dominio [172.16.1.50], pleased to meet you 

Ejecute el mandato EHLO seguido del nombre del anfitrión: 
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EHLO nombre.dominio 


Obtendrá una salida similar a ésta y que mostrará las funciones del servidor: 


250-nombre.dominio Hello nombre.dominio [172.16.1.50], pleased to meet you 

250 -ENHANCEDSTATUSCODES 

250-PIPELINING 

250-8BITMIME 

250-SIZE 

250-DSN 

250-ETRN 

250-AUTH DIGEST-MD5 CRAM-MD5 

250-DELIVERBY 

250 HELP 


Ejecute el mandato QUIT para cerrar la conexión. 


QUIT 


El servidor deberá contestar lo siguiente al terminar la conexión: 


221 2.0.0 nombre.dominio closing connection 
Connection closed by foreign host. 


La salida completa de todo el procedimiento anterior debe lucir similar a esto (mandatos utilizados resaltados en 

negrita): 


[fulanotanombre -]$ nc 172.16.1.50 25 
Trying 172.16.1.50. . . 

Connected to nombre.dominio (172.16.1.50). 

Escape character is '~] 1 . 

220 nombre.dominio ESMTP Sendmail 8.13.1/8.13.1; Sun, 5 Mar 2006 21:45:51 -0600 

HELO nombre.dominio 

250 nombre.dominio Hello nombre.dominio [172.16.1.50], pleased to meet you 

EHLO nombre.dominio 

250-nombre.dominio Hello nombre.dominio [172.16.1.50], pleased to meet you 

250 -ENHANCEDSTATUSCODES 

250-PIPELINING 

250-8BITMIME 

250-SIZE 

250-DSN 

250-ETRN 

250-AUTH DIGEST-MD5 CRAM-MD5 

250-DELIVERBY 

250 HELP 

QUIT 

221 2.0.0 nombre.dominio closing connection 
Connection closed by foreign host. 


80.5. Pruebas de envío de correo. 

80.5.1. Utilizando nc. 

Utilizar el mandato nc permite conocer y examinar como funciona realmente la interacción entre un servidor de 
correo y un cliente de correo. 

Abra una sesión con nc dirigido hacia el puerto 25 de la dirección IP principal del sistema. 
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nc 172.16.1.50 25 

Salude al sistema con el mandato HELO seguido del nombre del anfitrión. 

HELO nombre.dominio 

El servidor de correo deberá contestarle: 

250 nombre.dominio Hello nombre.dominio [172.16.1.50], pleased to meet you 

Ejecute el mandato MAIL FROM especificando la cuenta de correo de un usuario local de sus sistema del 
siguiente modo: 

MAIL FROM: <fulano@nombre.dominio> 

El servidor de correo deberá contestarle lo siguiente, a menos que especifique una cuenta de correo con un 
dominio distinto a los especificados en el archivo /etc/mail/relay-domains: 

250 2.1.0 <fulano@nombre.dominio>... Sender ok 

Ejecute el mandato RCPT TO especificando una cuenta de correo existente en el servidor del siguiente modo: 

RCPT TO: <root@nombre.dominio> 

El servidor de correo deberá contestarle lo siguiente: 

250 2.1.5 <root@nombre.dominio>... Recipient ok 
Ejecute el mandato DATA: 

DATA 

El servidor de correo deberá contestarle lo siguiente: 

354 Enter mail, end with on a line by itself 

Enseguida se ingresa el texto que desee incluir en le mensaje de correo electrónico. Al terminar finalice con un 
punto en una nueva línea. 

Hola, este es un mensaje de prueba. 

El sistema deberá contestarle algo similar a lo siguiente: 

250 2.0.0 k263wEKK006209 Message accepted for delivery 

Ejecute el mandato QUIT: 

QUIT 
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El servidor deberá contestar lo siguiente al terminar la conexión: 


221 2.0.0 nombre.dominio closing connection 
Connection closed by foreign host. 


La salida completa de todo el procedimiento anterior debe lucir similar a esto (mandatos utilizados resaltados en 

negrita): 


[fulano@nombre -]$ nc 172.16.1.50 25 
Trying 172.16.1.50... 

Connected to nombre.dominio (172.16.1.50). 

Escape character is l/v ]'. 

220 nombre.dominio ESMTP Sendmail 8.13.1/8.13.1; Sun, 5 Mar 2006 21:58:14 
-0600 

HELO nombre.dominio 

250 nombre.dominio Hello nombre.dominio [172.16.1.50], pleased to meet you 
MAIL FROM: <fulano@nombre.dominio> 

250 2.1.0 <fulano@nombre.dominio>... Sender ok 
RCPT TO: <root@nombre.dominio> 

250 2.1.5 <root@nombre.dominio>... Recipient ok 
DATA 

354 Enter mail, end with on a line by itself 

Hola, este es un mensaje de prueba. 

250 2.0.0 k263wEKK006209 Message accepted for delivery 

QUIT 

221 2.0.0 nombre.dominio closing connection 
Connection closed by foreign host. 


80.5.2. Utilizando mutt. 

Mutt, término utilizado en la lengua inglesa para referirse a perros mestizos, es un cliente de correo electrónico 
(MUA o Mail User Agent) para modo texto. Incluye soporte para color, hilos, MIME, PGP/GPG, protocolos 
POP3, IMAP y NNTP y para los formatos de correo Maildir y mbox. 

Basta ejecutar mutt y pulsar las teclas indicadas la interfaz de texto para realizar diversas tareas. Para enviar 
un mensaje de correo electrónico siga este procedimiento: 

1. Como usuario sin privilegios, ejecute mutt. 

2. Responda con la tecla «s» para confirmar que se creará ~/Mail. 

3. Una vez iniciada la interfaz de texto de mutt, pulse la tecla «m» para crear un nuevo mensaje. 

4 En la parte inferior de la pantalla aparece un diálogo para el destinatario (To: ). Ingrese una cuenta de correo 
electrónico válida o alguna que exista al menos en el dominio de la Red Locaí (LAN). 

5 En la parte inferior de la pantalla aparece un diálogo para ingresar el asunto del mensaje (Subject: ). Ingrese un título 
para el mensaje. 

. Enseguida mutt iniciará vi para crear el texto que se enviará en el mensaje. Inicie el modo de insertar texto (i) de vi 
1 e ingrese algunas palabras. Al terminar, guarde y salga de vi (:wq). 

Tras terminar con el editor de texto simple vi, mutt presentará una vista previa del mensaje. Confirme que los datos 
7. son los correctos y pulse latecla «y» para enviar el mensaje. Si necesita cambiar alguno de éstos, pulse «t» para 
cambiar el destinatario o bien pulse latecla «s», para cambiar el campo de asunto del mensaje. 

_ Mutt le devolverá a la pantalla principal. Si recibe un mensaje de respuesta, seleccione éste y pulse la tecla ENTER 
1 para visualizar el contenido. 

9. Si desea responder el mensaje, pulse la tecla «r» y repita los procedimientos del paso 4 al 7. 

Si lo desea, también puede utilizar mutt desde la linea de mandatos. 
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echo -e \ 

"Hola, soy ${USER} en ${HOSTNAME}.\n\ 

Por favor responde este mensaje. \n\nSaludos ." \ 
| mutt \ 

-s "Mensaje enviado desde ${HOSTNAME}" \ 
fulano@maquina.dominio 


Lo anterior envía un mensaje de correo electrónico hacia la cuenta fulano@maquina.dominio, con el asunto 
«Mensaje enviado desde nombre.dominio» con el siguiente contenido como texto del mensaje: 


Hola, soy usuario en nombre.dominio 

Por favor responde este mensaje. 

Saludos. 
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sitio de Red: http://www.alcancelibre.org/ 


Creative Commons Reconocimiento-NoComercial-Compartirlgual 2.1 


© 1999-2016 Joel Barrios Duenas. Usted es libre de copiar, distribuir y comunicar públicamente la obra y hacer obras derivadas bajo las condiciones siguientes: a) 
Debe reconocer y citar al autor original. b) No puede utilizar esta obra para fines comerciales. c) Si altera o transforma esta obra o genera una obra derivada, sólo 
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81.1. Introducción. 

Debido a la naturaleza del correo electrónico, es posible para un atacante inundar fácilmente el servidor y 
desencadenar en una denegación de servicio. Fenómenos como el denominado correo masivo no solicitado o 
Spam no hacen las cosas más fáciles y las administración de un servidor de correo puede tornarse una 
pesadilla. Anadir opciones avanzadas de seguridad se convierte en algo indispensable. 

81.2. Funciones. 

Todas las funciones explicadas a continuación pueden incluirse en el archivo /etc/mail/sendmail .mc justo 
debajo de la última línea que incluya define y arriba de la primera línea que incluya feature. 

81.2.1. confMAX_RCPTS_PER_MESSAGE 

Este parámetro sirve para establecer un número máximo de destinatarios para un mensaje de correo 
electrónico. De modo predeterminado Sendmail establece un máximo de 256 destinatarios. En el siguiente 
ejemplo se limitará el número de destinatarios a 20: 

define('confMAX RCPTS PER MESSAGE 1 , '20 1 )dnl 

81.2.2. confBAD_RCPT_THROTTLE 

Este parámetro sirve para establecer el tiempo de letargo que se utilizará por cada destinatario que sobrepase 
el límite establecido por confMAX rcpts per message. De modo predeterminado Sendmail no establece tiempo 
de letargo. En el siguiente ejemplo se establecerán 2 segundos de letargo por cada destinatario rechazado por 
sobrepasar el límite de destinatarios permitidos: 

define('confBAD RCPT THROTTLE 1 , '2 1 )dnl 

81.2.3. confPRIVACY_FLAGS 

Cuando se establece como valor 'goavvay', se deshabilitan varios mandatos SMTP como EXPN y VRFY, los 
cuales pudieran ser utilizados para revelar los nombres de usuarios locales a un spammer. También deshabilita 
las notificaciones de entrega, el cual es un mecanismo comunmente utilizado por quienes envían correo masivo 
no solicitado para verificar/confirmar la existencia de una cuenta activa y hace que el sistema solicite 
obligatoriamente HELO o EHLO antes de utilizar el mandato MAIL. Muchos programas de utilizados para enviar 
correo masivo no solicitado ni siquiera se molestan en utilizar HELO o EHLO. De modo predeterminado los 
valores de confPRIVACY_FLAGS son 'authwarnings,novrfy,noexpn,restrictqrun', cambie por lo siguiente: 

define('confPRIVACYFLAGS 1 ,'goaway 1 )dnl 
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81.2.4. confMAX_HEADERS_LENGTH 

Esté parámetro se utiliza para definir el tamaíïo máximo permitido para la cabecera de un mensaje en bytes. 
Algunos programas utilizados para enviar spam tratan de impedir que los MTA puedan registrar transacciones 
generando cabeceras muy grandes. 

Limitar le tamano de las cabeceras hace más difícil la ejecución de guión que explote vulnerabilidades recientes 
(desbordamientos de búfer) en UW IMAP, Outlook y Outlook Express. 

La mayor parte de los mensajes de correo electrónico tendrán cabeceras de menos de 2 Kb (2048 bytes). Un 
mensaje de correo electrónico ordinario, por muy exagerado que resulte el tamaíïo de la cabecera, rara vez 
utilizará una cabecera que sobrepase los 5 Kb o 6 Kb, es decir, de 5120 o 6144 bytes. En el siguiente ejemplo 
se limitará el tamano máximo de la cabecera de un mensaje a 16 Kb (requrerido para MailScanner): 

define('confMAX HEADERS LENGTH 1 , ' 16384 1 )dnl 

El valor sugerido es 16 Kb (16384 bytes). Aumente o disminuya el valor a su discresión. 

81.2.5. confMAX_MESSAGE_SIZE 

Este parámetro sirve para especificar el tamaiìo máximo permitido para un mensaje de correo electrónico en 
bytes. Puede especificarse lo que el administrador considera apropiado. En el siguiente ejemplo se limitará el 
tamano máximo de un mensaje a 3 MB: 

define('confMAXMESSAGE SIZE 1 , '3145728 1 )dnl 

81.2.6. confMAX_DAEMON_CHILDREN 

Este parámetro sirve para especificar cuantos procesos hijos se permitirán simultáneamente en el servidor de 
correo. De modo predeterminado sendmail no establece límites para este parámetro. Si se sobre pasa el límite 
de conexiones simultáneas, el resto serán demoradas hasta que se terminen las conexiones existentes y dejen 
lugar para nuevas conexiones. En el siguiente ejemplo se limitará el número de conexiones simultáneas hacia el 
servidor a 5: 

define('confMAX DAEMON CHILDREN 1 , '5' )dnl 

81.2.7. confCONNECTION_RATE_THROTTLE 

Este parámetro sirve para establecer el numero de conexiones máximas por segundo. De modo 
predeterminado sendmaii no establece límites para este parámetro. En el siguiente ejemplo se limitará a 4 
conexiones por segundo: 

define('confCONNECTION RATE THROTTLE 1 , '4 1 )dnl 
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82. Configuración de Postfix y Dovecot con soporte 
para TLS y autenticación. 
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82.1. Introducción. 

Es imprescindible primero estudiar y comprender, los conceptos descritos en el documento titulado 

«Introducción a los protocolos de correo electrónico.» 

82.1.1. Acerca de Postfix. 

Postfix, originalmente conocido por los nombres VMailer e IBM Secure Mailer, es un popular agente de 
transporte de correo (MTA o Mail Transport Agent), creado con la principal intención de ser una alternativa más 
rápida, fácil de administrar y segura que Sendmail. Fue originalmente escrito por VVietse Venema durante su 
estancia en el Thomas J. VVatson Research Center de IBM. 

URL: http://www.postfix.org/. 

82.1.2. Acerca de Dovecot. 

Dovecot es un servidor de POP3 e IMAP de fuente abierta que funciona en Linux y sistemas basados sobre 
Unix™ y disenado con la seguridad como principal objetivo. Dovecot puede utilizar tanto el formato mbox 
como maildir y es compatible con las implementaciones de los servidores UVV-IMAP y Courier IMAP. 

URL: http://dovecot.procontrol.fi/. 

82.1.3. Acerca de SASL y Cyrus SASL. 

SASL (Simple Authentication and Security Layer) es un estructura para la seguridad de datos en protocolos de 
Internet. Desempareja mecanismos de la autenticación desde protocolos de aplicaciones, permitiendo, en 
teoría, cualquier mecanismo de autenticación soportado por SASL para ser utilizado en cualquier protocolo de 
aplicación que capaz de utilizar SASL. Actualmente SASL es un protocolo de la IETF (Internet Engineering Task 
Force) que ha sido propuesto como estándar. Está especificado en el RFC 2222 creado por John Meyers en la 
Universidad Carnegie Mellon. 

Cyrus SASL es una implementación de SASL que puede ser utilizada del lado del servidor o del lado del 
cliente y que incluye como principales mecanismos de autenticación soportados a ANONYMOUS, CRAM-MD5, 
DIGEST-MD5, GSSAPI y PLAIN. El código fuente incluye también soporte para los mecanismos LOGIN, SRP, 
NTLM, OPT y KERBEROS_V4. 

URL: http://asg.web.cmu.edu/sasl/sasl-library.html. 

82.1.4. Acerca de DSA. 
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DSA (Digital Signature Algorithm o Algoritmo de Firma digital) es un algoritmo creado por el NIST (National 
Institute of Standards and Technology o Instituto Nacional de Normas y Tecnología de EE.UU.), publicado el 30 
de agosto de 1991, como propuesta para el proceso de firmas digitales. Se utiliza para firmar información, más 
no para cifrar ésta. 

URL: http://es.wikipedia.org/wiki/DSA 

82.1.5. Acerca de RSA. 

RSA, acrónimo de los apellidos de sus autores, Ron Rivest, Adi Shamir y Len Adleman, es un algoritmo para el 
ciframiento de claves públicas que fue publicado en 1977, patentado en EE.UU. en 1983 por el Instituto 
Tecnológico de Michigan (MIT). RSA es utilizado ampliamente en todo el mundo para los protocolos destinados 
para el comercio electrónico. 

URL: http://es.wikipedia.org/wiki/RSA 

82.1.6. Acerca de X.509. 

X.509 es un estándar ITU-T (estandarización de Telecomunicaciones de la International Telecommunication 
Union ) para infraestructura de claves públicas (PKI o Public Key Infrastructure). Entre otras cosas, establece 
los estándares para certificados de claves públicas y un algoritmo para validación de ruta de certificación. Este 
último se encarga de verificar que la ruta de un certificado sea válida bajo una infraestructura de clave pública 
determinada. Es decir, desde el certificado inicial, pasando por certificados intermedios, hasta el certificado de 
confianza emitido por una Autoridad Certificadora (CA o Certification Authority). 

URL: http://es.wikipedia.Org/wiki/X.509 

82.1.7. Acerca de OpenSSL. 

OpenSSL es una implementación libre, de código abierto, de los protocolos SSL (Secure Sockets Layer o Nivel 
de Zócalo Seguro) y TLS (Transport Layer Security o Seguridad para Nivel de Transporte). Está basado sobre 
el extinto proyecto SSLeay, iniciado por Eric Young y Tim Hudson, hasta que éstos comenzaron a trabajar para 
la división de seguridad de EMC Corporation. 

URL: http://www.openssl.org/ 

82.2. Equipamiento lógico necesario. 

Instalar los paquetes postfix, dovecot, cyrus-sasl y cyrus-sasl-plain: 


yum -y install postfix dovecot cyrus-sasl cyrus-sasl-plain 


Si acaso estuviese instalado, elimine el paquete cyrus-sasl-gssapi, ya que este utiliza el método de 
autenticación GSSAPI, mismo que requeriría de la base de datos de cuentas de usuario de un servidor 
Kerberos: 


yum remove cyrus-sasl-gssapi 


De igual manera, si estuviese instalado, elimine el paquete cyrus-sasl-md5, ya que este utiliza los métodos de 
autenticación CRAM-MD5 y Digest-MD5, mismos que requerían asignar las claves de acceso para SMTP a 
través del mandato saslpasswd2. Outlook carece de soporte para estos métodos de autenticación. 
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yum remove cyrus-sasl-md5 


82.3. Procedimientos. 

Todos los procedimientos deben realizarse como el usuario root. 

82.3.1. Definiendo Postfix como agente de transporte de correo predeterminado. 

El mandato alternatives, con la opción alternatives-config mta, se utiliza para conmutar el servicio de correo 
electrónico del sistema y elegir que paquete utilizar. Sólo es necesario utilizar éste si previamente estaban 
instalados Sendmail o Exim. Sí este es el caso, ejecute lo siguiente desde una terminal y defina Postfix como 
agente de transporte de correo (MTA, Mail Transport Agent), seleccionado éste. 


alternatives --config mta 


Lo anterior devolverá una salida similar a la siguiente, donde deberá elegir entre postfix y sendmail como MTA 
predeterminado del sistema: 

Hay 2 programas que proporcionan 'mta'. 

Selección Comando 

*+ 1 /usr/sbin/sendmail.postfix 

2 /usr/sbin/sendmail.sendmail 

Presione Intro para mantener la selección actual[+] o escriba el número de la selección: 1 


Si estuviera presente sendmail, detenga éste (es el MTA predeterminado en CentOS 5 y Red Hat Enterprise 
Linux 5) e inicie postfix: 


service sendmail stop 
chkconfig sendmail off 
service postfix start 
chkconfig postfix on 


82.3.2. SELinux y Postfix. 

Afin de que SELinux permita a Postfix escribir el directorio de entrada de correo electrónico (/var/spool/mail/), 
es necesario habilitar la siguiente política: 

setsebool -P allow__postfix_local_write_mail_spool 1 

Solo en CentOS 5 y Red Hat Enterpise Linux 5, a fin de que SELinux permita la lectura de correo electrónico, 
es necesario habilitar la siguiente política: 

setsebool -P mail_read_content 1 

En CentOS 6 y Red Hat Enterpise Linux 6, esta política dejó de existir, pues se volvió innecesaria. 

82.3.3. Configuración de Postfix. 

82.3.4. Generando firma digital y certificado para ambos servicios. 
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Acceda al directorio /etc/pki/tls/. 


cd /etc/pki/tls/ 


La creación de la firma digital y certificado requiere utilizar una clave con algoritmo RSA de 4096 octetos (bits), 
con estructura X.509 y sin DES. En el ejemplo a continuación, se establece una validez por 1825 días (cinco 
anos) para el certificado creado: 


openssl req -sha256 -x509 -nodes -newkey rsa:4096 -days 1825 \ 
-out certs/dominio. tld .crt -keyout private/dominio. tld .key 


Lo anterior solicitará se ingresen varios datos: 

• Código de dos letras para el país. 

• Estado o provincia. 

• Ciudad. 

• Nombre de la empresa o razón social. 

• Unidad o sección. 

• Nombre del anfitrión. 

• Dirección de correo. 


La salida debe devolver algo similar a lo siguiente: 


Generating a 1024 bit DSA private key 
writing new private key to 'smtp.key' 


You are about to be asked to enter information that will be 
incorporated into your certificate request. 

What you are about to enter is what is called a Distinguished Name 
or a DN. 

There are quite a few fields but you can leave some blank 
For some fields there will be a default value, 

If you enter '.', the field will be left blank. 


Country Name (2 letter code) [GB]:MX 

State or Province Name (full name) [Berkshire]: Distrito Federal 
Locality Name (eg, city) [Newbury]: Mexico 

Organization Name (eg, company) [My Company Ltd]: Empresa, S.A. de C.V. 
Organizational Unit Name (eg, section) []:Direccion Comercial 
Common Name (eg, your name or your server's hostname) []: *. dominio.tld 
Email Address [] :webmaster@dominio.com 


Si definió un nombre de anfitrión absoluto (ejemplo: mail.dominio.tld), el certificado sólo será válido cuando el 
servidor de correo electrónico sea invocado con el nombre definido en el campo Common Name. Es decir, sólo 
podrá utilizarlo cuando se defina mail.dominio.tld como servidor SMTP/IMAP/POP3 con soporte TLS desde el 
cliente de correo electrónico. Funcionará incorrectamente si se invoca al servidor como, por mencionar un 
ejemplo, correo.dominio.tld. Es por eso que se sugiere utilizar *.dominio.com si se planea acceder hacia el 
mismo servidor con diferentes subdominios del mismo dominio. 


A fin de facilitar a los clientes de correo electrónico el poder gestionar una futura actualización de certificado, 
conviene aiïadir una huella distintiva indubitable (fingerprint) al certificado. 

openssl x509 -subject -fingerprint -noout -in certs/dominio. tld .crt 

Es indispensable que todos los archivos de claves y certificados tengan permisos de acceso de lectura y 
escritura sólo para el usuario root: 
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chmod 600 certs/dominio .tld . crt private/dominio .tld . key 

Regrese al directorio de inicio del usuario root. 

cd 


82.3.4.1. Archivo de configuración /etc/postfix/master.cf. 

Editar el archivo /etc/postfix/master.cf: 

vim /etc/postfix/master.cf 


Si utiliza CentOS 5 o Red Hat Enterprise Linux 5, debe descomentar las siguientes líneas resaltadas en 

negrita: 


smtp inet n - n - - smtpd 

submission inet n - n - - smtpd 

-o smtpd enforce„tls=yes 
-o smtpd_sasl_auth„enable=yes 

-o smtpd client_restrictions=permit_sasl_authenticated,reject 
smtps inet n - n - - smtpd 

-o smtpd tls_wrappermode=yes 
-o smtpd_sasl_auth_enable=yes 

-o smtpd_client_restrictions=permit„sasl authenticated,reject 


Si utiliza CentOS 6 o Red Hat Enterprise Linux 6, debe descomentar las siguientes líneas resaltadas en 

negrita: 


smtp inet n - n - - smtpd 

submission inet n - n - - smtpd 

-o smtpd_tls_secu rity_level=encrypt 
-o smtpd sasl auth enable=yes 

-o smtpd_client_restrictions=permit„sasl_authenticated,reject 
-o milter macro_daemon name=ORIGINATING 
smtps inet n - n - - smtpd 

-o smtpd tls_wrappermode=yes 
-o smtpd_sasl_auth_enable=yes 

-o smtpd client_restrictions=permit_sasl_authenticated,reject 
-o milter macro_daemon name=ORIGINATING 


82.3.4.2. Archivo de configuración /etc/postfix/main.cf. 

Acontinuación, se debe editar el archivo /etc/postfix/main.cf: 


vim /etc/postfix/main.cf 


Respetando el resto del contenido original de este archivo y asumiendo que el nombre de anfitrión del 
servidor es mail.dominio.com y que se va a utilizar para gestionar el correo electrónico de dominio.com, solo 
se deben localizar y configurar los siguientes parámetros: 
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# Todo lo siguiente solo requiere descomentarse o bien modificar la linea 

# correspondiente que esté descomentada. 

# Definir el nombre de anfitrión del sistema (hostname). 
myhostname = mail.dominio.com 

# Definir el dominio principal a gestionar. 
mydomain = dominio.com 

myorigin = Smydomain 

# Definir se trabaje por todas las interfaces. 

# De modo predeterminado solo trabaja por la interfaz de retorno del sistema 

# (loopback), es decir, solo escucha peticiones a través de sobre 127.0.0.1 
#inet_interfaces = localhost 

inet_interfaces = all 

# Si se van a manejar más dominios de correo electrónico, anadirlos también. 
mydestination = Smyhostname, Smydomain, localhost.localdomain, localhost 

# Definir tus redes locales, ejemplo asume que tu LAN es 192.168.1.0/24 
mynetworks = 192.168.1.0/24, 127.0.0.0/8 

# Si se van a manejar más dominios de correo electrónico, anadirlos también. 
relay_domains = Smydestination 

# Importante para poder utilizar procmail para filtrar correo. 
mailbox_command = /usr/bin/procmail 

# Todo lo siguiente está ausente en la configuración. 

# Anadir todo al final del archivo main.cf 

# 

smtpd_tls_security_level = may 

# Sólo se utiliza si se adquiere un certificado con un CA 

# smtpd_tls_CAfile = /etc/pki/tls/certs/ca-bundle.crt 

# Las rutas deben corresponder a las del certificado y firma digital creados. 
smtpd_tls_key_file = /etc/pki/tls/private/dominio.tld.key 
smtpd_tls_cert_file = /etc/pki/tls/certs/dominio.tld.crt 
smtpd_tls_auth_only = no 

smtp_use_tls = yes 
smtpd_use_tls = yes 
smtp_tls_note_starttls_offer = yes 
smtpd_tls_loglevel = 1 
smtpd_tls_received_header = yes 
smtpd_tls_session_cache_timeout = 3600S 
tls_random_source = dev:/dev/urandom 
smtpd_tls_protocols = !SSLv2,!SSLv3 
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3 
smtp_enforce_tls = yes 

# Soporte para autenticar a través de SASL. 

# smtpd_sasl_local_domain = # Solo como referencia. 
smtpd_sasl_auth_enable = yes 
smtpd_sasl_security_options = noanonymous 
broken_sasl_auth_clients = yes 
smtpd_sasl_path = private/auth 
smtpd_sasl_authenticated_header = yes 

smtpd_recipient_restrictions = permit_sasl_authenticated,permit_mynetworks,reject_unauth_destination 


A fin de ahorrar tiempo realizando búsqueda de los parámetros anteriores, todo lo anterior también se puede 
configurar utilizando el mandato postconf, del siguiente modo: 
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postconf 
postconf 
postconf 
postconf 
postconf 
postconf 
postconf 
postconf 
postconf 
postconf 
postconf 
postconf 
postconf 
postconf 
postconf 
postconf 
postconf 
postconf 
postconf 
postconf 
postconf 
postconf 
postconf 
postconf 
postconf 
postconf 
postconf 
permitsasl 


'myhostname = mail.dominio.com' 

'mydomain = dominio.com' 

'myorigin = $mydomain' 

'inetinterfaces = all' 

'mydestination = $myhostname, $mydomain, localhost.localdomain, localhost' 
1 mynetworks = 192 . 168 . 1 . 0 / 24 , 127.0.0.0/8' 

'relaydomains = $mydestination' 

'mailboxcommand = /usr/bin/procmail' 

'smtpd_tls_key_file = /etc/pki/tls/private/dominio.tld.key' 

'smtpdtlscertfile = /etc/pki/tls/certs/dominio.tld.crt' 

'smtpdtlsauthonly = no' 

'smtpusetls = yes' 

'smtpdusetls = yes' 

'smtptlsnotestarttlsoffer = yes' 

'smtpdtlsloglevel = 1' 

'smtpdtlsreceivedheader = yes' 

'smtpdtlssessioncachetimeout = 3600s' 

'tlsrandomsource = dev:/dev/urandom' 

'smtpdtlsprotocols = !SSLv2,!SSLv3' 

'smtpdtlsmandatoryprotocols = !SSLv2,!SSLv3' 

'smtpenforcetls = yes' 

'smtpdsaslauthenable = yes' 

'smtpdsaslsecurityoptions = noanonymous' 

'broken_sasl_auth_clients = yes' 

'smtpdsaslpath = private/auth' 

'smtpdsaslauthenticatedheader = yes' 

'smtpdrecipientrestrictions = 

authenticated,permit_mynetworks,reject unauth destination' 


82.3.4.3. Archivo de configuración /etc/aliases. 

Se debe editar también el archivo /etc/aliases: 

vim /etc/aliases 


Se debe definir que el correo del usuario root se entregue al cualquier otro usuario del sistema. El objetivo de 
esto es que jamás se tenga necesidad de utilizar la cuenta del usuario root y se prefiera en su lugar una cuenta 
de usuario sin privilegios. Solo se requiere descomentar la última línea de este archivo, que como ejemplo 
entrega el correo del usuario root al usuario marc y definir un usuario existente en el sistema 

#root: marc 

root: fulano 


Al terminar, se ejecuta el mandato postalias para generar el archivo /etc/aliases.db que será utilizado por 

Postfix: 


postalias /etc/aliases 

82.3.5. Configuración de Dovecot en CentOS 5 y Red Hat Enterprise Linux 5. 
82.3.5.1. Parámetros del archivo /etc/dovecot.conf. 

Editar el archivo /etc/dovecot.conf: 

vim /etc/dovecot.conf 

En el parámetro protocols, se deben activar todos los servicios (imap, imaps, pop3 y pop3s). 

protocols = imap imaps pop3 pop3s 
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De modo predeterminado, el soporte SSL de Dovecot está activo. Verifique que el parámetro ssLdisable 
tenga el valor no o bien solo esté comentado. 

#ssl_disable = no 


Y se especifican las rutas del certificado y clave a través de los parámetros ssLcert_file y ssLkey_file, del 
siguiente modo: 


ssl_cert_file = /etc/pki/tls/certs/dominio.tld.crt 
ssl_key_file = /etc/pki/tls/private/dominio.tld.key 


82.3.6. Configuración de Dovecot en CentOS 6 y Red Hat Enterprise Linux 6. 

CentOS 6 y Red Hat Enterprise Linux 6 utilizan la versión 2.0 de Dovecot y por lo cual cambia radicalmente 
la configuración respecto de la versión l.O.x, utilizada en CentOS 5 y Red Hat Enterprise Linux 5. 

82.3.6.1. Parámetros del archivo /etc/dovecot/dovecot.conf. 

Edite el archivo /etc/dovecot/dovecot.conf y descomente el parámetro protocolos, estableciendo como valor 

pop3 imap Imtp. 


# Protocols we want to be serving. 
protocols = imap pop3 


82.3.6.2. Parámetros del archivo /etc/dovecot/conf.d/lO-mail.conf. 

Alrededor de la línea 30 del archivo /etc/dovecot/conf.d/lO-mail.conf, establezca 
mbox:~/mail:INBOX=/var/mail/%u como valor del parámetro mailjocation. 


mail_location = mbox:~/mail:INBOX=/var/mail/%u 


82.3.6.3. Parámetros del archivo /etc/dovecot/conf.d/lO-ssl.conf. 

En el archivo /etc/dovecot/conf.d/lO-ssl.conf, descomente las siguientes líneas resaltadas en negrita: 


# SSL/TLS support: yes, no, required. <doc/wiki/SSL.txt> 

ssl = yes 

# PEM encoded X.509 SSL/TLS certificate and private key. They're opened before 

# dropping root privileges, so keep the key file unreadable by anyone but 

# root. Included doc/mkcert.sh can be used to easily generate self-signed 

# certificate, just make sure to update the domains in dovecot-openssl.cnf 

ssl cert = </etc/pki/tls/certs/dominio.tld.crt 
ssl„key = </etc/pki/tls/private/dominio.tld.key 


Localice lo siguiente al final del archivo: 


# SSL protocols to use 

#SSl_protOCOls = !SSLv2 !SSLv3 
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Por razones de seguridad es buena idea deshabilitar el soporte para SSLv2 y SSLv3. El protocolo SSLv3 es 
muy inseguro y susceptible a la tristemente célebre vulnerabilidad conocida como POODLE. Si atacantes 
explotan exitosamente esta vulnerabilidad sólo necesitan hacer alrededor de 256 solicitudes SSL 3.0 para 
revelar datos de las conexiones cifradas. Lo más inteligente que puede hacer cualquier administrador de 
sistemas es deshabilitar el soporte para SSLv3. 

# SSL protocols to use 

ssl protocols = !SSLv2 !SSLv3 


82.3.7. Iniciar servicios y anadir éstos al arranque del sistema. 

Se deben afiadir al arranque del sistema e iniciar (o reiniciar) los servicios saslauthd, dovecot y postfix: 


chkconfig saslauthd on 
chkconfig dovecot on 
chkconfig postfix on 
service saslauthd start 
service dovecot start 
service postfix restart 


82.3.8. Soporte para LMTP. 

Si utiliza CentOS 6 o Red hat Enterprise Linux 6, es decir Dovecot 2.0 y Postfix 2.6.6, podrá utilizar LMTP 
(Local Mail Transfer Protocol) o protocolo de transporte local de correo. Este protocolo esta basado sobre el 
protocolo SMTP y está disenado como una alternativa a SMTP para situaciones donde el lado receptor carece 
de cola de correo (queue maií), como un MTA que entiende conversaciones SMTP. Puede ser utilizado como 
una forma alternativa y más eficiente para el transporte de correo entre Postfix y Dovecot. 

Edite el archivo /etc/dovecot/dovecot.conf y anada Imtp a los valores del parámetro protocolos, de la 
siguiente forma. 

# Protocols we want to be serving. 
protocols = imap pop3 lmtp 


Afin de poder hacer uso de LMTP de manera apropiada, es necesario anadir las siguientes dos opciones en el 
archivo /etc/postfix/main.cf: 


mailbox_transport = lmtp:unix:/var/run/dovecot/lmtp 
virtual_transport = lmtp:unix:/var/run/dovecot/lmtp 


O bien ejecutar lo siguiente: 


postconf -e 'virtual_transport = lmtp:unix:/var/run/dovecot/lmtp' 
postconf -e 'mailbox_transport = lmtp:unix:/var/run/dovecot/lmtp' 


Y reiniciar los servicios dovecot y postfix. 


service dovecot restart 
service postfix restart 


82.3.9. Modificaciones necesarias en el muro cortafuegos. 
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Si se utiliza un cortafuegos con políticas estrictas, como por ejemplo Shorewall, es necesario abrir, además de 
los puertos 25, 110, 143 y 587 por TCP (SMTP, POP3, IMAP y Submission, respectivamente), los puertos 
465, 993 y 995 por TCP (SMTPS, IMAP y POP3S, respectivamente). 

Editar el archivo /etc/shorewall/rules: 


vim /etc/shorewall/rules 


Las reglas para el archivo /etc/shorewall/rules de Shorewall correspondería a algo similar a lo siguiente: 


#ACTI0N SOURCE DEST PR0T0 DEST SOURCE 

# PORT PORT(S)1 

ACCEPT net fw tcp 25,110,143,465,587,993,995 

#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE 


Para que tomen efecto los cambios, hay que reiniciar el servicio Shorewall. 


service shorewall restart 


82.3.10. Requisitos en la zona de reenvío en el servidor DNS. 

Es indispensable que exista un DNS que resuelva correctamente el dominio y apunte el servicio de correo 
electrónico hacia la IP del servidor de correo electrónico recién configurado. Asumiendo que se hizo 
correctamente todo lo mencionado en este documento, la única forma en que se imposibilitaría la llegada y/o 
salida del correo electrónico se esté utilizando un enlace ADSL con IP dinámica (restringido por le proveedor 
para utilizar el puerto 25) o bien que el servidor DNS que resuelve el dominio, esté apuntando hacia otra 
dirección IP para el servicio de correo electrónico. En el DNS se requieren al menos los siguientes registros, 
donde xx.xx.xx.xx corresponde a la IP del servidor de correo electrónico. 


$TTL 

86400 




i 

IN 

SOA 

dnsl.isp.com alguien.algo.com ( 



2010061901 ; Número de serie 



28800 ; 

; Tiempo 

de refresco 



7200 ; 

Tiempo entre reintentos 



604800 

; tiempo 

de espiración 



86400 ; 
) 

; Tiempo 

total de vida 

i 

IN 

NS 

dnsl.isp.com. 

i 

IN 


NS 

dns2.isp.com. 

i 

IN 


A 

a.b.c.d 

i 

IN 


MX 

10 mail 

i 

IN 


TXT 

"v=spfl a mx -all" 

mail 

IN 


A 

XX.XX.XX.XX 

www 

IN 


A 

a.b.c.d 

ftp 

IN 


A 

a.b.c.d 


82.4. Comprobaciones. 

82.4.1. A través de terminal. 

Realice una conexión con el mandato nc (netcat) o bien el mandato telnet, al puerto 25 del sistema. Ingrese el 
mandato EHLO con el dominio configurado. La salida deberá devolver, entre todas las funciones del servidor, 
una línea que indica STARTTLS. La salida puede ser similar a la siguiente: 
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nc 127.0.0.1 25 

220 emachine.alcancelibre.org ESMTP Postfix 

EHLO dominio.com 

250-mail.dominio.com 

250-PIPELINING 

250-SIZE 10240000 

250-VRFY 

250-ETRN 

250-STARTTLS 

250-AUTH PLAIN LOGIN 

250-AUTH=PLAIN LOGIN 

250-ENHANCEDSTATUSCODES 

250-8BITMIME 

250 DSN 

QUIT 


Para salir, solo escriba QUIT y pulse la tecla ENTER. 

82.4.2. A través de clientes de correo electrónico. 

Utilice cualquier cliente de correo electrónico con soporte para TLS/SSL y configure éste para conectarse hacia 
el sistema a través de IMAPS (puerto 993) o bien POP3S (puerto 995). Tras aceptar el certificado del servidor, 
el sistema deberá permitir autenticar, con nombre de usuario y clave de acceso y realizar la lectura del correo 
electrónico. 


82.4.2.1. Configuración de GNOME Evolution. 

Para GNOME Evolution, la configuración de IMAP o POP3, se realiza seleccionando el tipo de servidor, 
definiendo el nombre del servidor utilizado para crear el certificado, nombre de usuario y usar encriptación 
segura TLS. 
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Configuración IMAP, en GNOME Evolution. 

Se hace lo mismo para la configuración de SMTP (utilizar conexión segura TLS), pero considerando además 
que también se puede utilizar el puerto 587 (submission) en caso de que el proveedor de acceso a Internet del 
cliente haya restringido el uso del puerto 25 (smtp). 
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Configuración SMTP, GNOME Evolution. 

82.4.2.2. Configuración Mozilla Thunderbird. 

Para Mozilla Thunderbird, se define el nombre del servidor utilizado para crear el certificado, usuario y usar 
conexión segura TLS. 
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Configuración IMAP, Mozilla Thunderbird. 

Se hace lo mismo para la configuración de SMTP (utilizar conexión segura TLS), pero considerando además 
que también se puede utilizar el puerto 587 (submission) en caso de que el proveedor de acceso a Internet del 
cliente haya restringido el uso del puerto 25 (smtp). 



Configuración SMTP, Mozilla Thunderbird. 

82.5. Modificaciones necesarias en el muro cortafuegos. 
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Si se utiliza un cortafuegos con políticas estrictas, como por ejemplo Shorewall, es necesario abrir, además de 
los puertos 25, 110, 143 y 587 por TCP (SMTP, POP3, IMAP y Submission, respectivamente), los puertos 
465, 993 y 995 por TCP (SMTPS, IMAP y POP3S, respectivamente). 


La regla para el archivo /etc/shorewall/rules de Shorewall correspondería a algo similar a lo siguiente: 


#ACTI0N SOURCE DEST PR0T0 DEST SOURCE 

# PORT PORT(S)1 

ACCEPT all f W tcp 25,110,143,465,587,993,995 

#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE 
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Postfix en CentOS. 
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Creative Commons Reconocimiento-NoComercial-Compartirlgual 2.1 


© 1999-2016 Joel Barrios Duenas. Usted es libre de copiar, distribuir y comunicar públicamente la obra y hacer obras derivadas bajo las condiciones siguientes: a) 
Debe reconocer y citar al autor original. b) No puede utilizar esta obra para fines comerciales (incluyendo su publicación, a través de cualquier medio, por entidades 
con fines de lucro). c) Si altera o transforma esta obra o genera una obra derivada, sólo puede distribuir la obra generada bajo una licencia idéntica a ésta. Al 
reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. Alguna de estas condiciones puede no aplicarse si se obtiene el 
permiso del titular de los derechos de autor. Los derechos derivados de usos legítimos u otras limitaciones no se ven afectados por lo anterior. Licencia completa 
en castellano. La información contenida en este documento y los derivados de éste se proporcionan tal cual son y los autores no asumirán responsabilidad alguna 
si el usuario o lector hace mal uso de éstos. 


83.1. Introducción. 

Este documento permitirá configurar Postfix para utilizar amavisd-new para el control de virus y correo spam. 
Se requiere haber configurado previamente Postfix de la forma en que se describe en el documento titulado 
«Cómo instalar y configurar Postfix en CentOS 5 con soporte para TLS y autenticación.» 

83.1.1. Acerca de Amavisd-new. 

Amavisd-new es una interfaz confiable y de alto desempeno entre el agente de trasporte de correo (MTA, Mail 
Transport Agent) y uno o más supervisores de contenido, como es el caso de supervisores anti-virus, y/o 
SpamAssassin. Está escrito en Perl para asegurar su alta confiabilidad, portabilidad y facilidad de 
mantenimiento. 

Funciona comunicándose con el MTA a través de ESMTP (Extended Simple Mail Transfer Protocol o Protocolo 
Simple de Transferencia de Correo) o bien LMTP (Local Mail Transfer Protocol o Protocolo de Transferencia 
Local de Correo), a través de programas auxiliares, con un diseno que impide se puede parder correo 
electrónico de manera incidental. 

URL: http://www.ijs.si/software/amavisd/ 

83.2. Equipamiento lógico necesario. 

83.2.1. Creación del usuario para ClamAV. 

De modo predeterminado, en los paquetes RPM basados sobre los disponibles para Fedora, el usuario para 
ClamAV se asigna a través de los mandatos fedora-groupadd y fedora-useradd el UID y GID 4 en el sistema. 
A fin de prevenir un conflicto de UID/GID con otros usuarios y grupos de sistema, se recomienda crear 
previamente al grupo y usuario correspondientes para ClamAV: 

groupadd -r clamav 

useradd -r -s /sbin/nologin -d /var/lib/clamav -M -c 'Clamav Antivirus' -g clamav 
clamav 


83.2.2. Configuración de depósitos YUM para CentOS 5 y Red Hat Enterprise Linux 5. 

Se pueden utilizar el siguiente depósito YUM para la plataforma Enterprise Linux 5. 

[AL-Server] 

name=Enterprise Linux Sreleasever - Sbasearch - AL Server 
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mirrorlist=http://www.alcancelibre.org/al/el$releasever/al-server 
gpgkey=http://www.alcancelibre.org/al/AL-RPM-KEY 

Instalar los paquetes necesarios se utiliza el siguiente mandato: 

yum -y install amavisd-new clamav-update clamav-server cabextract tnef 
yum -y install arj lha unzoo p7zip p7zip-plugins 

Lo anterior también instalará todas las dependencias necesarias. 

83.3. Procedimientos. 

83.3.1. Configuración de SELinux. 

83.3.1.1. Procedimiento para crear política. 

Crear el directorio /usr/share/selinux/packages/amavisd: 

mkdir /usr/share/selinux/packages/amavisd 

Cambiarse al directorio /usr/share/selinux/packages/amavisd: 

cd /usr/share/selinux/packages/amavisd 

Descargar desde Alcance Libre el archivo http://www.alcancelibre.org/linux/secrets/amavisd.te: 

wget http://www.alcancelibre.org/linux/secrets/amavisd.te 

Editar el archivo amavisd.te: 


vim amavisd.te 


Verificar que el archivo amavisd.te tenga el siguiente contenido: 


module amavisd 1.0; 
require { 

type traceroute_port_t; 

type amavis_t; 

type clamd_t; 

type spamd_t; 

type initrc_var_run_t; 

type amavis_var_run_t; 

type root_t; 

class dir { write search add_name }; 

class lnk_file read; 

class udp_socket name_bind; 

class file { ioctl append read lock }; 

} 

#============= amavis_t ============== 

allow amavis_t initrc_var_run_t:file { read lock }; 
allow amavis_t traceroute_port_t:udp_socket name_bind; 

#============= clamd_t ============== 

allow clamd_t amavis_var_run_t:dir { write search add_name }; 
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#============= spamd_t ============== 

allow spamd_t root_t:file { ioctl append }; 

Crear el archivo de módulo amavisd.mod a partir del archivo amavisd.te: 

checkmodule -M -m -o amavisd.mod amavisd.te 
Crear el archivo de política amavisd.pp a partir del archivo amavisd.mod 
semodule_package -o amavisd.pp -m amavisd.mod 
Incluir la política al sistema: 

semodule -i /usr/share/selinux/packages/amavisd/amavisd.pp 

83.3.2. Configuración de Amavisd-new. 

Editar el archivo /etc/amavisd/amavisd.conf 

vim /etc/amavisd/amavisd.conf 

Localizar la siguiente línea: 

Smydomain = 'example.com'; # a convenient default for other settings 

Cambiar por lo siguiente: 

Smydomain = 'dominio.com'; # a convenient default for other settings 


83.3.3. Configuración de Postfix. 

Editar el archivo /etc/postfix/master.cf 

vim /etc/postfix/master.cf 


Anadir al final de éste todo lo siguiente: 


# Configuración de amavisd-new 

amavisfeed unix - - n - 2 Imtp 

-o lmtp_data_done_timeout=1200 
-o lmtp_send_xforward_command=yes 
-o disable_dns_lookups=yes 
-o max_use=20 

127.0.0.1:10025 inet n - n - - smtpd 

-o content_filter= 

-o smtpd_delay_re]ect=no 

-o smtpd_client_restrictions=permit_mynetworks,reject 
-o smtpd_helo_restrictions= 

-o smtpd_sender_restrictions= 

-o smtpd_recipient_restrictions=permit_mynetworks,reject 
-o smtpd_data_restrictions=reject_unauth_pipelining 
-o smtpd_end_of_data_restrictions= 

-o smtpd_restriction_classes= 

-o mynetworks=127.0.0.0/8 
-o smtpd_error_sleep_time=0 
-o smtpd_soft_error_limit=1001 
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-o smtpd_hard_error_limit=1000 
-o smtpd_client_connection_count_limit=0 
-o smtpd_client_connection_rate_limit=0 

-o receive_override_options=no_header_body_checks,no_unknown_recipient_checks,nomilters,noaddres 
smappings 

-o local_header_rewrite_clients= 

-o smtpd_milters= 

-o local_recipient_maps= 

-o relay_recipient_maps= 


Editar el archivo /etc/postfix/main.cf: 


vim /etc/postfix/main.cf 


Anadir al final de éste lo siguiente: 


content_filter = amavisfeed:[127.0.0.1]:10024 


Lo anterior se puede definir automáticamente en el archivo /etc/postfix/main.cf ejecutando: 


postconf -e 'content_filter = amavisfeed:[127.0.0.1]:10024' 


Editar el archivo /etc/aliases: 


vim /etc/aliases 

Definir un alias para la cuenta virusalert: 

virusalert: fulano 

Para que surtan efecto los cambios, ejecutar: 

postalias /etc/aliases 

83.3.4. Iniciar, detener y reiniciar el servicio spamass-milter. 

Anadir los servicios clamd.amavisd y amavisd a los servicios de arranque del sistema: 

chkconfig clamd.amavisd on 
chkconfig amavisd on 

Iniciar los servicios clamd.amavisd y amavisd: 

service clamd.amavisd start 
service amavisd start 

Reiniciar el servicio postfix: 

service postfix restart 

83.3.5. Postfix con dominios virtuales y Amavisd-new. 
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Para poder utilizar Postfix con dominios virtuales y Amavisd-new, es indispensable editar el 
archivo /etc/amavisd/amavisd.conf: 

vim /etc/amavisd/amavisd.conf 

Y modificar los valores del parámetro @locaLdomains_maps. El valor predeterminado es el siguiente: 

@local_domains_maps = ( [".Smydomain"] ); 

Se deben agregar los dominios virtuales de la siguiente manera: 

@local_domains_maps = ( [".$mydomain", "dominio.com", "otrodominio.net", "otrodominio.org"] ); 

Y para que surtan efecto los cambios, se debe reiniciar el servicio amavisd: 

service amavisd restart 
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84. Cómo configurar Postfix en CentOS para utilizar 
dominios virtuales con usuarios del sistema. 

Autor: Joel Barrios Duehas 

Correo electrónico: darkshram en gmail punto com 

Sitio de Red: http://www.alcancelibre.org/ 

Creative Commons Reconocimiento-NoComercial-Compartirlgual 2.1 


© 1999-2016 Joel Barrios Duenas. Usted es libre de copiar, distribuir y comunicar públicamente la obra y hacer obras derivadas bajo las condiciones siguientes: a) 
Debe reconocer y citar al autor original. b) No puede utilizar esta obra para fines comerciales (incluyendo su publicación, a través de cualquier medio, por entidades 
con fines de lucro). c) Si altera o transforma esta obra o genera una obra derivada, sólo puede distribuir la obra generada bajo una licencia idéntica a ésta. Al 
reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. Alguna de estas condiciones puede no aplicarse si se obtiene el 
permiso del titular de los derechos de autor. Los derechos derivados de usos legítimos u otras limitaciones no se ven afectados por lo anterior. Licencia completa 
en castellano. La información contenida en este documento y los derivados de éste se proporcionan tal cual son y los autores no asumirán responsabilidad alguna 
si el usuario o lector hace mal uso de éstos. 


84.1. Introducción. 


Este documento permitirá configurar Postfix para utilizar múltiples dominios virtuales, utilizando los usuarios 
locales del sistema. Se requiere haber configurado previamente Postfix de la forma en que se describe en el 
documento titulado «Cómo instalar y configurar Postfix en CentOS con soporte para TLS y autenticación.» Se 
recomienda leer, estudiar y aplicar también los procedimientos descritos en el documento titulado «Cómo 
instalar y configurar Amavisd-new con Postfix en CentOS.» 

84.2. Procedimientos. 

84.2.1. Ajustes en el servicio saslauthd. 

Si los usuarios se van a dar de alta siguiendo el formato usuario@dominio.tld en lugar de sólo usuario , una 
práctica común en los servidores con múltiples dominios virtuales, es necesario anadir al servicio saslauthd la 
opción -r, la cual permite combinar el nombre de usuario y dominio antes de pasar por el mecanismo de 
autenticación. Si éste es el caso, se debe editar el archivo /etc/sysconfig/saslauthd: 


vim /etc/sysconfig/saslauthd 


Y afiadir la opción -r a los argumentos de FLAGS: 


# Directory in which to place saslauthd's listening socket, pid file, and so 

# on. This directory must already exist. 

SOCKETDIR=/var/run/saslauthd 

# Mechanism to use when checking passwords. Run "saslauthd -v" to get a list 

# of which mechanism your installation was compiled with the ablity to use. 

MECH=pam 

# Options sent to the saslauthd. If the MECH is other than "pam" uncomment 

# the next line. 

# DAEM0N0PTS=--user saslauth 

# Additional flags to pass to saslauthd on the command line. See saslauthd(8) 

# for the list of accepted flags. 

FLAGS=-r 


Y reiniciar el servicio saslauthd. 


service saslauthd restart 
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84.2.2. Configuración de SELinux. 

Por lo general, la mayoría de los documentos disponibles en Internet recomiendan desactivar SELinux, sin 
mayores argumento o explicaciones. Sin embargo, hacer ésto implica renunciar a una magnífica protección que 
brinda al sistema esta importante implementación de seguridad. Tengo un lema personal que me gusta citar 
para explicar mi opinión respecto de SELinux: 


Más vale tenerlo y jamás necesitarlo, que necesitarlo y carecer de éste. 


Si es posible utilizar SELinux junto con dominios virtuales. Cuando se quiere implementar un servicio de 
hospedaje con dominios virtuales y se utiliza /home para crear los directorios de inicio de los dominios virtuales, 
se requieren pocos o ningún ajuste en SELinux. Sin embargo, hay escenarios donde se utiliza /var/www para 
crear los directorios de inicio de los dominios virtuales. Sí se hace de este modo y sí se quiere mantener 
SELinux activo, es necesario generar una política que permita a los servicios de Postfix o Sendmail, Dovecot, 
Pyzor y Spamassassin poder realizar lectura, escritura y otros atributos sobre directorios y archivos con 
contexto httpd_sys__content_t. El siguiente procedimiento sirve para crear la política necesaria. 

84.2.2.1. Procedimiento para crear política. 

Crear el directorio /usr/share/selinux/packages/virtualmail: 


mkdir /usr/share/selinux/packages/virtualmail 


Cambiarse al directorio /usr/share/selinux/packages/virtualmail: 


cd /usr/share/selinux/packages/virtualmail 


Descargar desde Alcance Libre el archivo http://www.alcancelibre.org/linux/secrets/virtualmail.te: 


wget http://www.alcancelibre.org/linux/secrets/virtualmail.te 


Editar el archivo virtualmail.te: 


vim virtualmail.te 


Verificar que el archivo virtualmail.te tenga el siguiente contenido: 
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module virtualmail 1.0; 
require { 

type pyzor_t; 

type sendmail_t; 

type postfix_local_t; 

type postfix_postdrop_t; 

type postfix_master_t; 

type procmail_t; 

type spamc_t; 

type dovecot_t; 

type tmp_t; 

type httpd_log_t; 

type httpd_sys_content_t; 

type httpd_config_t; 

type spamd_t; 

type system_mail_t; 

class fifo_file write; 

class file { read lock rename create write getattr link unlink append }; 
class dir { search read write getattr remove_name add_name }; 

} 

#============= dovecot_t ============== 

allow dovecot_t httpd_sys_content_t:dir { write search read remove_name getattr add_name }; 
allow dovecot_t httpd_sys_content_t:file { write getattr link rename read lock create unlink }; 

#============= postfix_local_t ============== 

allow postfix_local_t httpd_sys_content_t:dir search; 

#============= postfix_postdrop_t ============== 

allow postfix_postdrop_t tmp_t:file { getattr append }; 
allow postfix_postdrop_t httpd_log_t:file getattr; 

#============= postfix_master_t ============== 

allow postfix_master_t httpd_config_t:dir search; 

#============= procmail_t ============== 

allow procmail_t httpd_sys_content_t:dir search; 

#============= pyzor_t ============== 

allow pyzor_t httpd_sys_content_t:dir { write search }; 

#============= spamc_t ============== 

allow spamc_t sendmail_t:fifo_file write; 

#============= spamd_t ============== 

allow spamd_t httpd_sys_content_t:dir { write search getattr }; 
allow spamd_t httpd_sys_content_t:file { read getattr }; 

#============= system_mail_t ============== 

allow system_mail_t httpd_sys_content_t:file append; 


Crear el archivo de módulo virtualmail.mod a partir del archivo virtualmail.te: 

checkmodule -M -m -o virtualmail.mod virtualmail.te 
Crear el archivo de política virtualmail.pp a partir del archivo virtualmail.mod 
semodule_package -o virtualmail.pp -m virtualmail.mod 
Incluir la politica al sistema: 

semodule -i /usr/share/selinux/packages/virtualmail/virtualmail.pp 


84.2.3. Configuración de Postfix. 
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84.2.3.1. Archivo /etc/postfix/main.cf. 
Editar el archivo /etc/postfix/main.cf: 
vim /etc/postfix/main.cf 


Definir los siguientes parámetros: 


# Establecer el valor de myhostname como localhost.localdomain 

# También se puede definir cualquier otro dominio, siempre y cuando sea distinto 

# a cualquiera de los definidos en los valores de virtual_alias_domains o en 

# virtual_alias_maps. 

myhostname = localhost.localdomain 

# Definir el valor predeterminado para mydomain 

mydomain = localhost.localdomain 

# Definir los valores predeterminados para mydestination y relay_domains 

mydestination = Smyhostname, localhost.Smydomain, localhost 
relay_domains = $mydestination 

# Recomendado. 

# Junto con virtual_alias_maps, reemplaza a virtual_maps 

# Se utiliza para declarar los dominios virtuales. 

# Se puede prescindir de éste si se anaden dominios en /etc/postfix/virtual. 

virtual_alias domains = $virtual alias maps 

# Obligatorio. 

# Junto con virtual_alias_domains, reemplaza a virtual_maps 

# Se utiliza para declarar la reescritura de direcciones. Ejemplo: 

# jbarriosidominio.com joel 

# Ejemplo hace que todo correo para joelidominio.com se entregue a joel 

# Si se quiere precindir de utilizar virtual_alias_domains, anadir también los 

# dominios en este formato: 

# dominio.com dominio.com 

# otrodominio.net otrodominio.net 

# otrodominio.org otrodominio.org 

# Si se hace lo anterior, comentar virtual_alias_domains. 
virtual_alias maps = hash:/etc/postfix/virtual 

# Recomendado. 

# Es la contraparte de alias_database = /etc/aliases 

# Se utiliza para reescritura de direcciones de salida. Ejemplo: 

# joel joel.barrios 

# Ejemplo hace que todo el correo de joel salga como joel.barrios 
canonical_maps = hash:/etc/postfix/canonical 

# Recomendado. 

# Se utiliza solo para reescribir la dirección de salida de una cuenta. 

# Ejemplo: 

# joel jbarriosidominio.com 

# Ejemplo hace que todo el correo de joel salga como jbarriosidominio.com 

sender„canonical maps = hash:/etc/postfix/sender„canonical 

# Opcional. 

# Poco utilizado. Utilizar virtual_alias_maps en su lugar. 

# Considerar que se procesa antes que canonical_maps. 

# Se utiliza solo para reescribir solo la dirección de entrada de una cuenta. 

# Ejemplo: 

# jbarriosidominio.com joel 

# Ejemplo hace que todo correo para jbarriosidominio.com se entregue a joel 
recipient_canonical_maps = hash:/etc/postfix/recipient_canonical 


Todo lo anterior se puede realizar también ejecutando el mandato postconf para cada parámetro: 
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postconf -e 'myhostname = localhost.localdomain' 
postconf -e 'mydomain = localhost.localdomain' 

postconf -e 'mydestination = Smyhostname, localhost.Smydomain, localhost' 

postconf -e 'relay_domains = Smydestination' 

postconf -e 'virtual_alias_domains = $virtual_alias_maps' 

postconf -e 'virtual_alias_maps = hash:/etc/postfix/virtual' 

postconf -e 'canonical_maps = hash:/etc/postfix/canonical' 

postconf -e 'sender_canonical_maps = hash:/etc/postfix/sender_canonical' 

postconf -e 'recipient_canonical_maps = hash:/etc/postfix/recipient_canonical' 


Al terminar, genere los archivos /etc/postfix/sender_canonical y /etc/postfix/recipient_canonical: 


touch /etc/postfix/sender_canonical 
touch /etc/postfix/recipient_canonical 


84.2.3.2. Archivos /etc/postfix/virtual y /etc/postfix/sender_canonical. 


Editar el archivo /etc/postfix/virtual: 

vim /etc/postfix/virtual 

Crear la tabla de cuentas de correo electrónico virtuales de entrada, especificando a que cuenta de usuario 
local se entrega cada dirección. 


dominio.com 

dominio.com 

otrodominio.net 

otrodominio.net 

otrodominio.org 

otrodominio.org 

joelidominio.com 

joel 

juan@dominio.com 

juan 

pablo@dominio.com 

pablo 

pedro@dominio.com 

pedro 

hugo@otrodominio.net 

hugo 

luis@otrodominio.org 

luis 

webmaster@dominio.com 

joel@dominio.com 

webmaster@otrodominio.net 

hugo@otrodominio.net 

webmaster@otrodominio.org 

luis@otrodominio.org 


Editar el archivo /etc/postfix/sender_canonical: 


vim /etc/postfix/sender_canonical 


Crear la tabla de cuentas de correo electrónico virtuales de salida, especificando las direcciones de salida que 
utilizará cada usuario. Es decir, casi lo contrario a lo establecido en /etc/postfix/virtual, pero especificando un 
único usuario para cada cuenta de correo electrónico. Jamás se especifique más de un usuario por cuenta de 
correo electrónico, ni más de una cuenta de correo electrónico por usuario. 


joel 

joel@dominio.com 

juan 

j uan@dominio.com 

pablo 

pablo@dominio.com 

pedro 

pedro@dominio.com 

hugo 

hugo@otrodominio.net 

luis 

luis@otrodominio.org 


Utilizar el mandato postmap con los archivos /etc/postfix/canonical, /etc/postfix/recipient_canonical, 
/etc/postfix/sender canonical y /etc/postfix/virtual a fin de generar los archivos .db correspondientes y que 
surtan efecto los cambios luego de reiniciar el servicio postfix: 


782 









Joel Barrios Duenas 


Configuración de Servidores con GNU/Linux 


postmap /etc/postfix/canonical 
postmap /etc/postfix/recipient_canonical 
postmap /etc/postfix/sender_canonical 
postmap /etc/postfix/virtual 


84.2.4. Reiniciar el servicio postfix. 

Afin de que surtan efecto todos los cambios, se debe reiniciar el servicio postfix: 


service postfix restart 
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85. Envío de correo a todos los usuarios del sistema. 


Autor: Joel Barrios Duehas 

Correo electrónico: darkshram en gmail punto com 

Sitio de Red: http://www.alcancelibre.org/ 


Creative Commons Reconocimiento-NoComercial-Compartirlgual 2.1 


© 1999-2016 Joel Barrios Duenas. Usted es libre de copiar, distribuir y comunicar públicamente la obra y hacer obras derivadas bajo las condiciones siguientes: a) 
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85.1. Procedimientos. 

Genere un archivo que contenga una lista de los usuarios del sistema a los cuales se quiere enviar un mensaje. 
Puede guardarse en cualquier ruta del sistema, como por ejemplo /etc/mail/allusers. Puede editarse el 
archivo /etc/mail/allusers y anadir individualmente cada usuario o bien. Ejecute lo siguiente para aríadir a 
todos los usuarios del sistema: 

awk -F: 1 $3 > 500 { print $1 }' /etc/passwd > /etc/mail/allusers 


Edite el archivo /etc/aliases. 


vi /etc/aliases 


Ahada lo siguiente al final del archivo: 


allusers: :include:/etc/mail/allusers 


Guarde los cambios y salga del editor de texto. 


Al terminar ejecute newaliases: 


newaliases 


Y reinicie el servicio para aplicar los cambios: 


service sendmail restart 


Haga comprobaciones enviando un mensaje de correo electrónico a la cuenta allusers. 


echo "Mensaje de prueba" |mail -s "Mensaje de prueba" -b allusers root 
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85.2. Recomendaciones de seguridad. 

Evite a toda costa utilizar allusers o palabras muy obvias como alias de correo para enviar a todas las cuentas. 
Quienes se dedican a enviar correo basura ( Spam ), seguramente tratarán de enviar correo a los aliases más 
probables. Dificulte el trabajo a esas personas y trate de utilizar un alias críptico. Ejemplo: 8j j37sjei876. 

Siempre envíe mensajes a esta cuenta como copia carbón oculta (CCO o BCC). 
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86. Configuración de clamav-milter. 

Autor: Joel Barrios Duehas 

Correo electrónico: darkshram en gmail punto com 

Sitio de Red: http://www.alcancelibre.org/ 


Creative Commons Reconocimiento-NoComercial-Compartirlgual 2.1 


© 1999-2016 Joel Barrios Duenas. Usted es libre de copiar, distribuir y comunicar públicamente la obra y hacer obras derivadas bajo las condiciones siguientes: a) 
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86.1. Introducción. 

86.1.1. Requisitos previos. 

Se requiere un servidor de correo electrónico con Sendmail, previamente configurado y funcionando para 
enviar y recibir correo electrónico. Para más detalles al respecto, consultar el documento titulado 

«Configuración básica de Sendmail.». 

86.1.2. Acerca de clamav-milter. 

Clamav-milter es un componente para anadir (Plug-in) para la biblioteca de filtros de correo (libmilter) de 
Sendmail, que se encarga de hacer pasar todo el correo entrante, incluyendo todo lo que se reciba a través de 
rmail/UUCP, a través del ClamAV, que a su vez es un poderoso y robusto motor con licenciamiento libre, para 
la detección de gusanos, troyanos y virus. Verifica el correo electrónico durante la conexión con el servidor de 
correo que remite éste ultimo y lo rechaza automáticamente si éste incluye algún gusanos, troyanos o virus. 

Al igual que clamav-milter, el cual es utilizado para la filtración de Spam, representa una excelente alternativa 
pues tiene un bajo consumo de recursos de sistema, haciéndolo idóneo para servidores con sustento físico 
obsoleto o donde otras aplicaciones tiene mayor prioridad en la utilización de recursos de sistema. 

URL: http://www.clamav.net/ 

86.1.3. Acerca de ClamAV. 

ClamAV es un conjunto de herramientas antivirus, libre y de código fuente abierto que tiene las siguiente 
características: 

• Distribuido bajo los términos de la Licencia Publica General GNU versión 2. 

• Cumple con las especificaciones de familia de estándares POSIX (Portable Operating System Interface 
for UNIX o interfaz portable de sistema operativo para Unix). 

• Exploración rápida. 

• Detecta más de 3 millones virus, gusanos, troyanos y otros programas maliciosos. 

• Capacidad para examinar contenido de archivos ZIP, RAR, Tar, Gzip, Bzip2, MS OLE2, MS Cabinet, MS 
CHM y MS SZDD. 

• Soporte para explorar archivos comprimidos con UPX, FSG y Petite. 
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• Avanzada herramienta de actualización con soporte para firmas digitales y consultas basadas sobre 
DNS. 

URL: http://www.clamav.net/ 

86.2. Equipamiento lógico necesario. 

86.2.1. Instalación a través de yum. 

Si utiliza CentOS o Red Hat™ Enterprise Linux puede utilizar el almacén YUM de Alcance Libre para 
servidores en producción, descargando el archivo http://www.alcancelibre.org/al/server/AL-Server.repo 
dentro del directorio /etc/yum.repos.d/: 


wget -N http://www.alcancelibre.org/al/server/AL-Server.repo \ 
-0 /etc/yum.repos.d/AL-Server.repo 


Omita el paso anterior si utiliza ALDOS o Fedora™. 

Ejecute lo siguiente si utiliza ALDOS, CentOS 6 o Red Hat™ Enterprise Linux 6 y versiones posteriores de 
éstos: 


yum -y install clamav-milter clamav-milter-sysvinit \ 
clamav-update clamav-scanner \ 
clamav-scanner-sysvinit clamav-data-empty 


Ejecute lo siguiente si utiliza CentOS 7 o Red Hat™ Enterprise Linux 7 y versiones posteriores de éstos: 


yum -y install clamav-milter clamav-milter-systemd \ 
clamav-update clamav-scanner \ 
clamav-scanner-systemd clamav-data-empty 


Ejecute lo siguiente si utiliza Fedora™ 22 y versiones posteriores de éste: 


dnf -y install clamav-milter clamav-milter-systemd \ 
clamav-update clamav-scanner \ 
clamav-scanner-systemd clamav-data-empty 


86.3. Procedimientos. 

86.3.1. SELinux y el servicio clamav-milter. 

Si utiliza ALDOS 1.4, CentOS 6 y Red Hat™ Enterprise Linux 6 y versiones posteriores de éstos, se requiere 
habilitar dos políticas para permitir un funcionamiento normal. Ejecute lo siguiente: 


setsebool -P antivirus_use„jit=l antivirus_can_scan_system=l 


La política antivirus_usejit permite a ClamAV utilizar el compilador JIT basado sobre LLVM (Low Level 
Virtual Machine), el cual es utilizado para extender las capacidades de detección de virus al compilar Bytecode. 

La política antivirus_can_scan_system permite a ClamAV poder realizar la verificación todo lo que se 
encuentre en el sistema de archivos. 
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Actualizaciones recientes de SELinux impedirán que servicio clamav-milter pueda establecer los permisos y 
pertenencias requeridos para el zócalo del servicio y la comunicación entre el servicio sendmail y el servicio 
clamav-milter. El siguiente procedimiento crea una política que permitirá a clamav-milter operar normalmente. 

Crear el directorio /usr/share/selinux/packages/clamav-milter: 


mkdir /usr/share/selinux/packages/clamav-milter 


Cambiarse al directorio /usr/share/selinux/packages/clamav-milter: 

cd /usr/share/selinux/packages/clamav-milter 


Si utiliza CentOS 7 o Red Hat™ Enterprise Linux 7 descargue el archivo 
http://www.alcancelibre.org/linux/secrets/clamav-milter.te: 

wget http://www.alcancelibre.org/linux/secrets/clamav-milter.te 


Nota. 

Si utiliza CentOS 6 o Red Hat™ Enterprise Linux 6 descargue en su lugar el archivo 

http://www.alcancelibre.org/linux/secrets/el6/clamav-milter.te: 


wget http://www.alcancelibre.org/linux/secrets/el6/clamav-milter.te 


Editar el archivo clamav-milter.te: 

vi clamav-milter.te 


Si utiliza CentOS 7 o Red Hat™ Enterprise Linux 7, verifique que el archivo clamav-milter.te tenga el 
siguiente contenido: 


module clamav-milter 1.0; 

require { 

type antivirus_t; 
type sendmail_t; 
type init_t; 
type init_tmp_t; 

class unix_stream_socket connectto; 

class file write; 

class capability fowner; 

} 

#============= antivirus_t ============== 

allow antivirus_t self:capability fowner; 
allow antivirus_t init_tmp_t:file write; 

#============= sendmail_t ============== 

allow sendmail_t init_t:unix_stream_socket connectto; 
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Crear el archivo de módulo clamav-milter.mod a partir del archivo clamav-milter.te: 


checkmodule -M -m -o clamav-milter.mod clamav-milter.te 


Crear el archivo de política clamav-milter.pp a partir del archivo clamav-milter.mod 

semodule_package -o clamav-milter.pp -m clamav-milter.mod 


Incluir la política al sistema: 


semodule -i /usr/share/selinux/packages/clamav-milter/clamav-milter.pp 


Regrese al directorio de inicio de root. 


cd 


86.3.2. Archivos /etc/freshclam.conf y /etc/sysconfig/freshclam. 

Edite el archivo /etc/freshclam.conf: 

vi /etc/freshclam.conf 


El archivo /etc/freshclam.conf de los paquetes distribuidos por Alcance Libre ya incluye las modificaciones 
necesarias para permitir el funcionamiento de freshclam. Sin embargo, si se utilizan paquetes para Fedora o 
EPEL es necesario editar este archivo y comentar la línea 9. Esta incluye la palabra inglesa Example y su 
presencia es impedirá ejecutar freshclam con el fin de deshabilitar el servicio de modo predeterminado: 


## 

## Example config file for freshclam 

## Please read the freshclam.conf(5) manual before editing this file. 

## 


# Comment or remove the line below. 

# Example 


Defina además las siguientes opciones: 
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UpdateLogFile /var/log/freshclam.log 
LogSyslog yes 

PidFile /var/run/freshclam.pid 

# Si utiliza CentOS 6 o RHEL 6 defina 'clamav' como usuario. 
user clamupdate 

DatabaseOwner clamupdate 
AllowSupplementaryGroups yes 
DatabaseMirror database.clamav.net 

# Number of database checks per day. 

# Default: 12 (every two hours) 

Checks 24 

NotifyClamd /etc/clamd.d/scan.conf 


Dependiendo del distribuidor de los paquetes de ClamAV el usuario puede variar respecto de este documento. 
Puede ser clamupdate o bien clamav. 

Edite el archivo /etc/sysconfig/freshclam: 


vi /etc/sysconfig/freshclam 


El archivo /etc/sysconfig/freshclam de los paquetes distribuidos por Alcance Libre ya incluyen las 
modificaciones necesarias para permitir la actualización automática de la base de datos de ClamAV. Si se 
utilizan paquetes de Fedora™ o EPEL, es necesario editar el archivo /etc/sysconfig/freshclam y deshabilitar 
la última línea: 


### !!!!! REMOVE ME !!!!!! 

### REMOVE ME: By default, the freshclam update is disabled to avoid 
### REMOVE ME: network access without prior activation 

# FRESHCLAM DELAY=dÌsabled-warn # REMOVE ME 


86.3.3. Archivo /etc/mail/clamav-milter.conf. 

Edite el archivo /etc/mail/clamav-milter.conf: 


vi /etc/mail/clamav-milter.conf 


El archivo /etc/mail/clamav-milter.conf de los paquetes distribuidos por Alcance Libre ya incluye las 
modificaciones necesarias para permitir el funcionamiento de clamav-milter. Sin embargo, si se utilizan 
paquetes para Fedora o EPEL es necesario editar este archivo y comentar la línea 6. Esta incluye la palabra 
inglesa Example y su presencia es impedirá ejecutar clamav-milter con el fin de deshabilitar el servicio de 
modo predeterminado: 


## 

## Example config file for clamav-milter 

## 

# Comment or remove the line below. 

# Example 


Defina además las siguientes opciones: 
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MilterSocket /var/run/clamav-milter/clamav-milter.sock 

# Remove stale socket after unclean shutdown. 

FixStaleSocket yes 

# Si utiliza CentOS 6 o RHEL 6 defina 'clamav' como usuario. 

User clamilt 

AllowSupplementaryGroups yes 

PidFile /var/run/clamav-milter/clamav-milter.pid 
TemporaryDirectory /var/tmp 

ClamdSocket unix:/var/run/clamd.scan/clamd.sock 

# Default: Quarantine 
Onlnfected Reject 

RejectMsg 550 Message contaminated with %v 
LogFile /var/log/clamav-milter.log 
LogTime yes 
LogSyslog yes 


Dependiendo del distribuidor de los paquetes de ClamAV el usuario puede variar respecto de este documento. 
Puede ser clamilt o bien clamav. 


Tome nota que la ruta del zócalo /var/run/clamav-milter/clamav-milter.sock — definida en la opción 
MilterSocket— deberá ser la misma que se defina en el macro que se anadirá al archivo 
/etc/mail/sendmail.mc. Dependiendo de del distribuidor del conjunto de paquetes de ClamAV la ruta puede 
estar predefinida como /var/run/clamav-milter/clamav.sock o /var/run/clamav-milter/clamav-milter.socket. 
Es probable que deba ajustar la ruta. 

Tome nota también que la ruta del zócalo del servicio clamad —definida en la opción ClamdSocket— deberá 
coincidir con la ruta establecida en la opción LocalSocket del archivo /etc/clamd.d/scan.conf. 

86.3.4. Archivo /etc/clamd.d/scan.conf. 

Edite el archivo /etc/mail/clamav-milter.conf: 

vi /etc/clamd.d/scan.conf 


El archivo /etc/clamd.d/scan.conf de los paquetes distribuidos por Alcance Libre ya incluye las 
modificaciones necesarias para permitir el funcionamiento de clamad.scan. Sin embargo, si se utilizan 
paquetes para Fedora o EPEL es necesario editar este archivo y comentar la línea 8. Esta incluye la palabra 
inglesa Example y su presencia es impedirá ejecutar clamd.scan con el fin de deshabilitar el servicio de modo 
predeterminado: 


## 

## Example config file for the Clam AV daemon 

## Please read the clamd.conf(5) manual before editing this file. 

## 


# Comment or remove the line below. 

# Example 


Defina además las siguientes opciones: 
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LogSyslog yes 

PidFile /var/run/clamd.scan/clamd.pid 
LocalSocket /var/run/clamd.scan/clamd.sock 

# Remove stale socket after unclean shutdown. 

FixStaleSocket yes 

TCPSocket 3310 
TCPAddr 127.0.0.1 

# Si utiliza CentOS 6 o RHEL 6 defina 'clamav' como usuario. 

User clamscan 

AllowSupplementaryGroups yes 
DetectBrokenExecutables yes 


Dependiendo del distribuidor de los paquetes de ClamAV el usuario puede variar respecto de este documento. 
Puede ser clamscan o bien clamav. 


Tome nota que la ruta del zócalo del servicio clamad —definida en la opción LocalSocket— deberá coincidir 
con la ruta establecida en la opción ClamdSocket del archivo /etc/mail/clamav-milter.conf. 

Genere un enlace simbólico como /etc/clamd.conf que apunte hacia /etc/clamd.d/scan.conf para permitir que 
otras aplicaciones puedan utilizar la misma configuración: 

ln -s /etc/clamd.d/scan.conf /etc/clamd.conf 


86.3.5. Archivo /etc/mail/sendmail.mc. 

Edite el archivo /etc/mail/sendmail.mc: 


vi /etc/mail/sendmail.mc 


Anada el siguiente contenido justo arriba de la línea MAILER(smtp)dnl. 


dnl MASQUERADEDOMAIN(localhost)dnl 
dnl MASQUERADEDOMAIN(localhost.localdomain)dnl 
dnl MASQUERADE_DOMAIN(mydomainalias.com)dnl 
dnl MASQUERADEDOMAIN(mydomain.lan)dnl 

INPUT_MAIL_FILTER('clamav', S=locaL:/var/run/clamav-milter/clamav-milter.sock, F=, T=S:4m;R:4m' )dnl 
define(confINPUT_MAIL_FILTERS', clamav' )dnl 

MAILER(smtp)dnl 
MAILER(procmail)dnl 
dnl MAILER(cyrusv2)dnl 


Tome nota que la ruta del zócalo /var/run/clamav-milter/clamav-milter.sock deberá ser la misma que se 
defina en la opción MilterSocket del archivo /etc/mail/clamav-milter.conf . Dependiendo de del distribuidor del 
conjunto de paquetes de ClamAV la ruta puede estar predefinida como /var/run/clamav-milter/clamav.sock o 
/var/run/clamav-milter/clamav-milter.socket. Es probable que deba ajustar la ruta. 


Utilice lo siguiente si se combina con Spamassassin Milter: 


dnl MASQUERADEDOMAIN(Localhost)dnl 
dnt MASQUERADE_DOMAIN(LocaLhost.LocaLdomain)dnl 
dnt MASQUERADE_DOMAIN(mydomainaLias.com)dnL 
dnt MASQUERADEDOMAIN(mydomain.Lan)dnt 

INPUT_MAIL_FILTER('spamassassin', 'S=unix:/var/run/spamass-miLter/spamass-miLter.sock, F=, 

T=C:15m;S:4m;R:4m;E:lOm 1 )dnl 

INPUT_MAIL_FILTER('cLamav', 'S=LocaL:/var/run/cLamav-milter/cLamav-miLter.sock, F=, T=S:4m;R:4m' )dnl 
define(confMILTER_MACROS_ENVRCPT', b, r, v, Z')dnL 
define('confINPUT_MAIL_FILTERS', 'spamassassin,ciamav' )dnl 

MAILER(smtp)dnL 
MAILER(procmait)dnL 
dnL MAILER(cyrusv2)dnL 
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Utilice lo siguiente si se combina con Spamassassin Milter y Milter Greylist: 


dnl MASQUERADEDOMAIN(localhost)dnl 
dnl MASQUERADE_DOMAIN(localhost.localdomain)dnl 
dnl MASQUERADE_DOMAIN(mydomainalias.com)dnl 
dnl MASQUERADEDOMAIN(mydomain.lan)dnl 

INPUT_MAIL_FILTER('greylist", 'S=local:/var/run/milter-greylist/milter-greylist.sock' )dnl 
INPUT_MAIL_FILTER('spamassassin’, 'S=unix:/var/run/spamass-milter/spamass-milter.sock, F=, 

T=C:15m;S:4m;R:4m;E:lOm 1 )dnl 

INPUT_MAIL_FILTER('clamav', 'S=local:/var/run/clamav-milter/clamav-milter.sock, F=, T=S:4m;R:4m' )dnl 

define(confMILTER_MACROS_ENVRCPT', b, r, v, Z, {greyTist}' )dnl 

define('confMILTER_MACROS_CONNECT', {_}, {j}, {if_addr}, {daemon_port}' )dnl 

define('confMILTER_MACROS_HELO', {verify}, {cert_subject}' )dnl 

define('confMILTER_MACROS_ENVFROM', {i}, {auth_authen}' )dnl 

define('confINPUT_MAIL_FILTERS", 'greylist,spamassassin,clamav' )dnl 

MAILER(smtp)dnl 

MAILER(procmail)dnl 

dnl MAILER(cyrusv2)dnl 


Utilice lo siguiente si se combina con Spamassassin Milter, Milter Greylist y DKIM Milter: 


dnl MASQUERADEDOMAIN(localhost)dnl 
dnl MASQUERADEDOMAIN(localhost.localdomain)dnl 
dnl MASQUERADE_DOMAIN(mydomainalias.com)dnl 
dnl MASQUERADEDOMAIN(mydomain.lan)dnl 

INPUT_MAIL_FILTER('dkim-milter’, 'S=local:/var/run/dkim-milter/dkim-milter.sock‘ )dnl 
INPUT_MAIL_FILTER('greylist’, 'S=local:/var/run/milter-greylist/milter-greylist.sock‘ )dnl 
INPUT_MAIL_FILTER('spamassassin’, 'S=unix:/var/run/spamass-milter/spamass-milter.sock, F=, 

T=C:15m;S:4m;R:4m;E:lOm' )dnl 

INPUT_MAIL_FILTER('clamav', 'S=local:/var/run/clamav-milter/clamav-milter.sock, F=, T=S:4m;R:4m' )dnl 
define('confMILTER_MACROS_ENVRCPT', b, r, v, Z, {greylist}' )dnl 
define('confMILTER_MACROS_CONNECT', '{_}, {j}, {if_addr}, {daemon_port}' )dnl 
define('confMILTER_MACROS_HELO', {verify}, {cert_subject}' )dnl 

define('confMILTER_MACROS_ENVFROM', {i}, {auth_type}, {auth_authen}, {auth_ssf}, {auth_author}, 

{maiL_mailer}, {mail_host}, {mail_addr}' )dnl 

define('confINPUT_MAIL_FILTERS’, 'dkim-milter,greylist,spamassassin,clamav’ )dnl 

MAILER(smtp)dnl 
MAILER(procmail)dnl 
dnl MAILER(cyrusv2)dnl 


86.3.6. Configuración. 

Clamav-milter depende totalmente de la base de datos de ClamAV. El funcionamiento estándar —que consiste 
en rechazar correo electrónico que contenga virus y otros programas malignos— funciona sin necesidad de 
argumentos. Las opciones de inicio para clamav-milter se pueden definir en el archivo /etc/sysconfig/clamav- 
milter. La configuración predeterminada es suficiente para funcionar normalmente. 


man 8 clamav-milter 


86.3.7. Iniciar, detener y reiniciar el servicio clamav-milter. 

Si utiliza CentOS 7 o Red Hat™ Enterprise Linux 7 y versiones posteriores de éstos, ejecute lo siguiente para 
anadir los servicios clamd@scan y clamav-milter a los servicios de inicio de sistema: 


systemctl enable clamd@scan 
systemctl start clamd@scan 
systemctl enable clamav-milter 
systemctl start clamav-milter 
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Nota. 

Si utiliza CentOS 6 o Red Hat™ Enterprise Linux 6 y versiones anteriores de éstos, ejecute lo siguiente para anadir 
los servicios clamd.scan y clamav-milter a los servicios de inicio de sistema: 


chkconfig clamd.scan on 
service clamd.scan start 
chkconfig clamav-milter on 
service clamav-milter start 


Ejecute lo siguiente para actualizar manualmente la base de datos de firmas: 

freshclam 


Si utiliza CentOS 7 o Red Hat™ Enterprise Linux 7 y versiones posteriores de éstos, ejecute lo siguiente para 
reiniciar el servicio sendmail y aplicar los cambios. 


systemctl restart sendmail 


Nota. 


Si utiliza CentOS 6 o Red Hat™ Enterprise Linux 6 y versiones anteriores de éstos, ejecute lo siguiente para reiniciar 
el servicio sendmail y aplicar los cambios. 


service sendmail restart 
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87. Configuración de spamass-milter. 

Autor: Joel Barrios Duehas 

Correo electrónico: darkshram@gmail.com 
sitio de Red: http://www.alcancelibre.org/ 


Creative Commons Reconocimiento-NoComercial-Compartirlgual 2.1 


© 1999-2016 Joel Barrios Duenas. Usted es libre de copiar, distribuir y comunicar públicamente la obra y hacer obras derivadas bajo las condiciones siguientes: a) 
Debe reconocer y citar al autor original. b) No puede utilizar esta obra para fines comerciales. c) Si altera o transforma esta obra o genera una obra derivada, sólo 
puede distribuir la obra generada bajo una licencia idéntica a ésta. Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. 
Alguna de estas condiciones puede no aplicarse si se obtiene el permiso del titular de los derechos de autor. Los derechos derivados de usos legítimos u otras 
limitaciones no se ven afectados por lo anterior. La información contenida en este documento y los derivados de éste se proporcionan tal cual son y los autores no 
asumirán responsabilidad alguna si el usuario o lector hace mal uso de éstos. 


87.1. Introducción. 

87.1.1. Requisitos previos. 

Se requiere un servidor de correo electrónico con Sendmail, previamente configurado y totalmente funcional. 
Para más detalles al respecto, consultar el documento titulado « Configuración básica de Sendmail». Se 
requiere además leer y estudiar previamente la información del documento titulado «Instalación y 
configuración de Spamassassin». 

87.1.2. Acerca de spamass-milter. 

Spamass-milter es un complemento ( plug-in ) para la biblioteca de filtros de correo (libmilter) de Sendmail. Se 
encarga de hacer pasar todo el correo entrante —incluyendo todo lo que se reciba a través de rmail/UUCP — a 
través de SpamAssassin, que a su vez es un poderoso y robusto componente de filtrado de correo. 

Representa una excelente alternativa pues consume una relativamente baja cantidad de recursos de sistema. 

URL: http://savannah.nongnu.org/projects/spamass-milt/ 

87.1.3. Acerca de SpamAssassin. 

SpamAssassin es una implementación que utiliza un sistema de puntuación, basado sobre algoritmos de tipo 
genético, para identificar mensajes que pudieran ser sospechosos de ser correo masivo no solicitado, 
anadiendo cabeceras a los mensajes de modo que puedan ser filtrados por el cliente de correo electrónico o 
MUA (Mail User Agent). 

URL: http://spamassassin.apache.org/ 

87.2. Equipamiento lógico necesario. 

87.2.1. Instalación a través de yum. 

Si utiliza CentOS o Red Hat™ Enterprise Linux, puede utilizar el almacén YUM de Alcance Libre para 
servidores en producción, descargando el archivo http://www.alcancelibre.org/al/server/AL-Server.repo 
dentro del directorio /etc/yum.repos.d/: 


wget -N http://www.alcancelibre.org/al/server/AL-Server.repo \ 
-0 /etc/yum.repos.d/AL-Server.repo 


Ejecute lo siguiente para instalar todo lo necesario: 
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yum -y install spamass-milter perl-Mail-SPF perl-Razor-Agent \ 
pyzor spamassassin-iXhash2 


87.3. Procedimientos. 

87.3.1. SELinux y el servicio spamass-milter. 

Ejecute lo siguiente para que SELinux permita al servicio spamassassin conectarse a servicios externos como 

Razor o Pyzor: 

setsebool -P spamassassin_can_network 1 

Ejecute lo siguiente para que SELinux permita a los usuarios regulares utilizar spamassassin desde sus 
directorios de inicio: 


setsebool -P spamd_enable_home_dirs 1 

87.3.1.1. Ajustes adicionales. 

SELinux impedirán que el servicio spamass-milter pueda siquiera iniciar. Realice el siguiente procedimiento 
para instalar las políticas de SELinux necesarias. 

Genere un nuevo directorio denominado /usr/share/selinux/packages/spamassmilter: 

mkdir /usr/share/selinux/packages/spamassmilter 
Cambie al directorio /usr/share/selinux/packages/spamassmilter: 

cd /usr/share/selinux/packages/spamassmilter 


Si utiliza CentOS 5 o Red Hat™ Enterprise Linux 5, descargue el archivo 
http://www.alcancelibre.org/linux/secrets/el5/spamassmilter.te: 


wget http://www.alcancelibre.org/linux/secrets/el5/spamassmilter.te 


Edite el archivo recién descargado: 


vi spamassmilter.te 


Verifique que éste contenga lo siguiente: 
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module spamassmilter 1.0; 
require { 

type spamass_milter_data_t; 
type spamass_milter_t; 
type pyzor_t; 
type initrc_var_run_t; 
type spamd_t; 

class dir { search read create write getattr remove_name add_name }; 
class file { read create ioctl write getattr unlink append }; 

} 

#============= pyzor_t ============== 

allow pyzor_t spamass_milter_data_t:dir { write search create getattr add_name }; 
allow pyzor_t spamass_milter_data_t:file { read write create getattr }; 

#============= spamass_milter_t ============== 

allow spamass_milter_t initrc_var_run_t:file { write getattr }; 

#============= spamd_t ============== 

allow spamd_t spamass_milter_data_t:dir { write search read remove_name create getattr add_name }; 
allow spamd_t spamass_milter_data_t:file { write getattr read create unlink ioctl append }; 


Lo anterior fue obtenido tras ejecutar cat /var/log/audit/audit.log|grep audit|audit2allow -m 
spamassmilter>spamassmilter.te en un sistema CentOS 5 donde SELinux impedía a spamass-milter 
funcionar correctamente. 

Si utiliza CentOS 6 o Red Hat™ Enterprise Linux 6, descargue el archivo 

http://www.alcancelibre.org/linux/secrets/el6/spamassmilter.te: 


wget http://www.alcancelibre.org/linux/secrets/el6/spamassmilter.te 


Edite el archivo recién descargado: 

vi spamassmilter.te 


Verifique que éste contenga lo siguiente: 


module spamassmilter 1.0; 
require { 

type spamass_milter_data_t; 
type spamass_milter_t; 
type pyzor_t; 
type initrc_var_run_t; 
type spamc_t; 
type spamd_t; 

class dir { search read create write open getattr remove_name add_name }; 
class file { read create ioctl write open getattr unlink append }; 

} 

#============= pyzor_t ============== 

allow pyzor_t spamass_milter_data_t:dir { write search create getattr add_name }; 
allow pyzor_t spamass_milter_data_t:file { read write create getattr }; 

#============= spamass_milter_t ============== 

allow spamass_milter_t initrc_var_run_t:file { write getattr }; 

#============= spamd_t ============== 

allow spamd_t spamass_milter_data_t:dir { write open search read remove_name create getattr 
add_name }; 

allow spamd_t spamass_milter_data_t:file { write open getattr read create unlink ioctl append }; 

#============= spamc_t ============== 

allow spamc_t spamass_milter_data_t:file open; 
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Lo anterior fue obtenido tras ejecutar cat /var/log/audit/audit.log|grep audit|audit2allow -m 
spamassmilter>spamassmilter.te en un sistema CentOS 6 donde SELinux impedía a spamass-milter 
funcionar correctamente. 


Genere el archivo de módulo para SELinux (spamassmilter.mod) ejecutando checkmodule de la siguiente 
forma: 

checkmodule -M -m -o spamassmilter .mod spamassmilter .te 

Empaquete el archivo spamassmilter.mod como el archivo spamassmilter.pp: 

semodule_package -o spamassmilter. pp -m spamassmilter .mod 

Vincule el archivo spamassmilter.pp a las políticas actuales de SELinux y cargue la nueva política al núcleo en 
ejecución: 

semodule -i /usr/share/selinux/packages/spamassmilter/spamassmilter.pp 

87.3.2. Archivo /etc/mail/sendmail.mc. 

Edite el archivo /etc/mail/sendmail.mc: 


vi /etc/mail/sendmail.mc 


Afiada lo siguiente justo arriba de MAILER(smtp)dnl. 


dnl MASQUERADEDOMAIN(localhost)dnl 
dnl MASQUERADEDOMAIN(localhost.localdomain)dnl 
dnl MASQUERADE_DOMAIN(mydomainalias.com)dnl 
dnl MASQUERADEDOMAIN(mydomain.lan)dnl 

INPUT_MAIL_FILTER('spamassassin’, 'S=unix:/var/run/spamass-milter/spamass-milter.sock, F=, 
T=C:15m;S:4m;R:4m;E:lOm 1 )dnl 

define('confMILTER_MACROS_ENVRCPT', b, r, v, Z')dnl 
define('confINPUT_MAIL_FILTERS', 'spamassassin 1 )dnl 

MAILER(smtp)dnl 
MAILER(procmail)dnl 
dnl MAILER(cyrusv2)dnl 


Utilice lo siguiente si se combina con ClamAV Milter: 


dnl MASQUERADEDOMAIN(localhost)dnl 
dnl MASQUERADEDOMAIN(localhost.localdomain)dnl 
dnl MASQUERADE_DOMAIN(mydomainalias.com)dnl 
dnl MASQUERADEDOMAIN(mydomain.lan)dnl 

INPUT_MAIL_FILTER('spamassassin’, ' S=unix:/var/run/spamass-milter/spamass-milter.sock, F=, 

T=C: 15m;S:4m;R:4m;E:lOm’ )dnl 

INPUT_MAIL_FILTER('clamav', 'S=local:/var/run/clamav-milter/clamav.sock, F=, T=S:4m;R:4m' )dnl 
define(confMILTER_MACROS_ENVRCPT', b, r, v, Z')dnl 
define('confINPUT_MAIL_FILTERS', 'spamassassin,clamav' )dnl 

MAILER(smtp)dnl 
MAILER(procmail)dnl 
dnl MAILER(cyrusv2)dnl 


Utilice lo siguiente si se combina con ClamAV Milter y Milter Greylist: 
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dnl MASQUERADEDOMAIN(localhost)dnl 
dnl MASQUERADEDOMAIN(localhost.localdomain)dnl 
dnl MASQUERADE_DOMAIN(mydomainalias.com)dnl 
dnl MASQUERADEDOMAIN(mydomain.lan)dnl 

INPUT_MAIL_FILTER('greylist', 'S=local:/var/run/milter-greylist/milter-greylist.sock' )dnl 
INPUT_MAIL_FILTER('spamassassin’, 'S=unix:/var/run/spamass-milter/spamass-milter.sock, F=, 

T=C:15m;S:4m;R:4m;E:lOm 1 )dnl 

INPUT_MAIL_FILTER('clamav', 'S=local:/var/run/clamav-milter/clamav.sock, F=, T=S:4m;R:4m' )dnl 

define(confMILTER_MACROS_ENVRCPT', b, r, v, Z, {greylist}' )dnl 

define('confMILTER_MACROS_CONNECT', '{_}, {j}, {if_addr}, {daemon_port} 1 )dnl 

define('confMILTER_MACROS_HELO', '{verify}, {cert_subject}’ )dnl 

define('confMILTER_MACROS_ENVFROM', {i}, {auth_authen}' )dnl 

defineCconfINPUT_MAIL_FILTERS 1 , 'greylist,spamassassin,clamav' )dnl 

MAILER(smtp)dnl 

MAILER(procmail)dnl 

dnl MAILER(cyrusv2)dnl 


Utilice lo siguiente si se combina con ClamAV Milter, Milter Greylist y DKIM Milter: 


dnl MASQUERADEDOMAIN(localhost)dnl 
dnl MASQUERADE_DOMAIN(localhost.localdomain)dnl 
dnl MASQUERADE_DOMAIN(mydomainalias.com)dnl 
dnl MASQUERADEDOMAIN(mydomain.lan)dnl 

INPUT_MAIL_FILTER('dkim-miLter’, 'S=local:/var/run/dkim-milter/dkim-milter.sock 1 )dnl 
INPUT_MAIL_FILTER('greylist’, 'S=local:/var/run/milter-greylist/milter-greylist.sock' )dnl 
INPUT_MAIL_FILTER('spamassassin 1 , 'S=unix:/var/run/spamass-milter/spamass-milter.sock, F=, 

T=C:15m;S:4m;R:4m;E:lOm 1 )dnl 

INPUT_MAIL_FILTER('clamav', 'S=local:/var/run/cLamav-milter/clamav.sock, F=, T=S:4m;R:4m‘ )dnl 
defineCconfMILTER_MACROS_ENVRCPT’, 'b, r, v, Z, {greylist}' )dnl 
define('confMILTER_MACROS_CONNECT', '{_}, {j}, {if_addr}, {daemon_port}' )dnl 
define('confMILTER_MACROS_HELO', {verify}, {cert_subject}' )dnl 

define('confMILTER_MACROS_ENVFROM', {i}, {auth_type}, {auth_authen}, {auth_ssf}, {auth_author}, 

{mail_mailer}, {mail_host}, {mail_addr}‘ )dnl 

define('confINPUT_MAIL_FILTERS‘, 'dkim-milter,greylist,spamassassin,clamav’ )dnl 

MAILER(smtp)dnl 
MAILER(procmail)dnl 
dnl MAILER(cyrusv2)dnl 


87.3.3. Archivo /etc/sysconfig/spamass-milter. 

Edite el archivo /etc/sysconfig/spamass-milter: 


vi /etc/sysconfig/spamass-milter 


Encontrará el siguiente contenido: 


### Override for your different local config 
#SOCKET=/var/run/spamass-milter/spamass-milter.sock 

### Standard parameters for spamass-milter are: 

### -P /var/run/spamass-milter.pid (PID file) 

### 

### Note that the -f parameter for running the milter in the background 
### is not required because the milter runs in a wrapper script that 
### backgrounds itself 

### 

### You may add another parameters here, see spamass-milter(l) 
#EXTRA_FLAGS="-m -r 15" 
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De forma predeterminada, a través del parámetro -m, spamass-milter desactiva la modificación del asunto del 
mensaje (Subject:) y la cabecera Content-Type:, lo cual es conveniente para anadir cabeceras y se procesado 
posteriormente, y, a través del parámetro -r 15, rechaza los mensajes de correo electrónico cuando éstos tienen 
asignados 15 puntos o más. Se pueden modificar el número de puntos mínimos para rechazar directamente el 
correo electrónico sospechoso de ser Spam incrementando el valor para el parámetro -r. La recomendación es 
asignar un valor mayor al definido en el archivo /etc/mail/spamassassin/local.cf. Si, por ejemplo, se establece 
en éste último required hits 4.5 y revvrite header Subject {Spam?} y en el archivo /etc/sysconfig/spamass- 
milter se establece EXTRA FLAGS="-m -r 10", ocurrirá lo siguiente: 

1. Todos los mensajes marcados con 4.4 puntos o menos, se entregarán inmediatamente al usuario 
sin modificaciones visibles. 

2. Todos los mensajes marcados desde 4.5 hasta 9.9 puntos se entregarán al usuario con el asunto 
modificado anadiendo a éste {Spam?} al inicio. 

3. Todos los mensajes que estén marcados con 10.0 puntos o más serán rechazados 
automáticamente. 

El contenido del archivo /etc/sysconfig/spamass-milter quedaría del siguiente modo si se aplica en escenario 
descrito arriba: 


### Override for your different local config 
#SOCKET=/var/run/spamass-milter/spamass-milter.sock 

### Standard parameters for spamass-milter are: 

### -P /var/run/spamass-milter.pid (PID file) 

### 

### Note that the -f parameter for running the milter in the background 
### is not required because the milter runs in a wrapper script that 
### backgrounds itself 

### 

### You may add another parameters here, see spamass-milter(l) 

EXTRA FLAGS="-m -r 10" 


87.3.4. Configuración de SpamAssassin. 

A fin de que spamass-milter y spamassassin trabajen juntos, es necesario exista el directorio de 
configuración para el usuario sa-milt que se utilizará para iniciar spamd, el cual corresponde al servicio 
spamassassin. Por lo general, este directorio se crea automáticamente al instalar el paquete spamassassin. 


Este directorio debe pertenecer al usuario sa-milt y grupo sa-milt. 
chown -R sa-milt:sa-milt /var/lib/spamassassin 

Edite el archivo /etc/sysconfig/spamassassin: 
vi /etc/sysconfig/spamassassin 


Anada las opciones -u sa-milt -x --virtual-config-dir=/var/lib/spamassassin, las cuales especifican que se 
iniciará como el usuario sa-milt, que se desactivará la configuración por usuario y que se utilizará 
/var/lib/spamassassin como directorio virtual de configuración. De tal modo, el archivo debe quedar de la 
siguiente forma: 


# Options to spamd 

SPAMDOPTIONS="-d -c -m5 -H -u sa-milt -x --virtual-config-dir=/var/lib/spamassassin" 
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87.3.5. Iniciar, detener y reiniciar el servicio spamass-milter. 

Agregue al arranque del sistema e inicie el servicio spamassasin del siguiente modo: 


chkconfig spamassassin on 
service spamassassin start 


Agregue al arranque del sistema e inicie el servicio spamass-milter: 


chkconfig spamass-milter on 
service spamass-milter start 


Reinicie el servicio sendmail para que surtan efectos los cambios. 


service sendmail restart 

Actualice el juego de reglas y filtros de SpamAssassin una o dos veces al mes. Éstos sufren pocos cambios a lo 
largo del ano y se almacenan en un sub-directorio dentro de /var/lib/spamassassin/. Sólo es necesario 
conservar el sub-directorio con la versión más reciente. Ejecute lo siguiente para consultar si hay 
actualizaciones, descargar lo necesario y reiniciar el servicio sólo si hubo una actualización: 

sa-update && service spamassassin restart 
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88. Instalación y configuración de dkim-milter. 
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88.1. Introducción. 

Este documento incluye los procedimientos necesarios para configurar dkim-milter con Sendmail o Postfix. 

88.1.1. Acerca de DKIM. 

DKIM (DomainKeys Identified Mail) es un mecanismo de autenticación de correo electrónico que permite firmar 
los mensajes de correo electrónico con una llave privada —de 1024 a 2048 bits— de modo que éste pueda ser 
validado por un destinatario a través de una llave pública distribuida a través de DNS. 

Fue disenado para combatir la falsificación de correo electrónico (mail spoofing), práctica muy utilizada para 
enviar spam que consiste en falsificar el valor del campo de la cabecera "From:" de un mensaje de corro 
electrónico, es decir el remitente, cuando en realidad proviene de un servidor distinto al que realmente 
corresponde al dominio involucrado, dificultando de este modo el poder hacer reclamos o bien enganar a los 
servidores de correo electrónico para que reciban spam como correo legítimo aprovechando un defecto del 
protocolo SMTP. Todos los grandes servicios de correo electrónico —incluidos GMail, Flotmail/Outlook.com, 
Yahoo y Fastmail— utilizan esta tecnología para mitigar el problema del spam. 

DKIM también impide la manipulación de correo electrónico, garantizando la integridad de extremo a extremo, 
desde el módulo firmante en el servidor de correo de origen, que inserta una firma DKIM en las cabeceras del 
mensaje, hasta el módulo de comprobación en el servidor de destino que valida la firma obteniendo la llave 
pública del firmante a través de un registro TXT en la zona de DNS que resuelve el domino del remitente. 

88.2. Equipamiento lógico necesario. 

88.2.1. Instalación a través de yum. 

ALDOS y Fedora™ ya incluyen lo necesario para realizar la instalación del paquete necesario. Si utiliza 
CentOS o Red Hat™ Enterprise Linux, puede utilizar el almacén YUM de Alcance Libre para servidores en 
producción, descargando el archivo http://www.alcancelibre.org/al/server/AL-Server.repo dentro del 
directorio /etc/yum.repos.d/: 


wget -N http://www.alcancelibre.org/al/server/AL-Server.repo \ 
-0 /etc/yum.repos.d/AL-Server.repo 


Examine el contenido del archivo /etc/yum.repos.d/AL-Server.repo: 


vi /etc/yum.repos.d/AL-Server.repo 


El contenido debe ser el siguiente: 
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[AL-Server] 

name=AL Server para Enterprise Linux Sreleasever 

mirrorlist=http://www.alcancelibre.org/al/el$releasever/al-server 

gpgcheck=l 

gpgkey=http://www.alcancelibre.org/al/AL-RPM-KEY 


Salga del editor de texto y ejecute lo siguiente para instalar lo necesario: 

yum -y install dkim-milter 


88.3. Procedimientos. 

88.3.1. SELinux y el servicio dkim-milter. 

Se debe crear una política para permitir al servicio dkim-milter acceder a los contenidos de /sys y acceder a 
los archivos de firmas digitales, aunque éstos sean enlaces simbólicos —requerido por Virtualmin para 
gestionar DKIM. 


Genere un nuevo directorio denominado /usr/share/selinux/packages/dkim: 

mkdir -p /usr/share/selinux/packages/dkim 

Cambie al directorio /usr/share/selinux/packages/clamd: 

cd /usr/share/selinux/packages/dkim 

Descargue el archivo http://www.alcancelibre.org/linux/secrets/dkim.te: 

wget http://www.alcancelibre.org/linux/secrets/dkim.te 
Edite el archivo recién descargado: 
vi dkim.te 


Asegúrese que éste tenga el siguiente contenido: 


module dkim 1.0; 

require { 

type sysfs_t; 

type dkim_milter_t; 

type dkim_milter_private_key_t; 

class lnk_file read; 

class dir search; 

class file { read open }; 

} 

#============= dkim_milter_t ============== 

allow dkim_milter_t dkim_milter_private_key_t:lnk_file read; 

allow dkim_milter_t sysfs_t:dir search; 

allow dkim_milter_t sysfs_t:file { read open }; 


Lo anterior fue obtenido de la salida de cat /var/log/audit/audit.log|grep audit|audit2allow -m dkim>dkim.te 

en un sistema donde SELinux impedía a dkim-milter acceder a los contenidos de /sys y acceder a los archivos 
de firmas digitales. 
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Genere el archivo de módulo para SELinux (dkim.mod) ejecutando checkmodule del siguiente modo: 

checkmodule -M -m -o dkim.mod dkim.te 
Empaquete el archivo clamd.mod como el archivo clamd.pp: 

semodule_package -o dkim.pp -m dkim.mod 

Finalmente, vincule el archivo dkim.pp obtenido con las políticas actuales de SELinux y se cargan éstas en el 
núcleo en ejecución: 

semodule -i /usr/share/selinux/packages/dkim/dkim.pp 


Una vez cargadas las nuevas políticas, se pueden eliminar los archivos dkim.te y dkim.mod, pues sólo será 
necesario que exista el archivo binario dkim.pp. 

88.3.2. Creación de firma digital y configuración del servicio dkim-milter. 

Si utiliza o bien planea utilizar Virtualmin para administrar o gestionar DKIM, por favor omita todos los 
procedimientos a continuación, debido a que este módulo para Webmin realiza todo lo necesario y porque 
éste ignorará y eliminará cualquier firma digital y configuración para dominio que se haya configurado fuera de 
la interfaz de Virtualmin. 

Cambie al directorio /etc/mail/dkim-milter: 

cd /etc/mail/dkim-milter 


Tome en cuenta que muchos servicios de DNS públicos carecen de soporte para anadir registros tan grandes 
como los requeridos para publicar una firma de 2048 bits. Si así fuese el caso, genere la firma digital de 1024 
bits, lo cual debe poder funcionar en prácticamente todos los servicios de DNS. 

Ejecute dkim-genkey con la opción -b y 2048 — asumiendo que el proveedor de servicio de DNS tiene soporte 
para registros de gran tarnano— como argumento para crear una nueva firma digital de 2048 bits, la opción -r 
para definir que la firma a crear sólo puede ser utilizar para firmar correo electrónico y la opción -d con el 
dominio a utilizar como argumento. Ejemplo: 


dkim-genkey -b 2048 -r -d mi-dominio.com 


Lo anterior creará los archivos denominados default.private y default.txt; el primero corresponde a la firma 
digital que se utilizará para firmar todos los mensajes de correo; el segundo corresponde al archivo que incluye 
el registro TXT que debe anadirse a la zona de reenvío del dominio. 

A fin de tener todo organizado y permitir gestionar otros dominios en el mismo servidor, genere el directorio 
específico para el dominio que se está configurando: 

mkdir /etc/mail/dkim-milter/keys/mi-dominio.com 


Mueva el archivo default.private como el archivo default dentro del directorio para el dominio. 


mv default.private /etc/mail/dkim-milter/keys/mi-dominio.com/default 
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Mueva el archivo default.txt como el archivo default.txt dentro del directorio para el dominio. 
mv default.txt /etc/mail/dkim-milter/keys/mi-dominio.com/ 

Cambie el propietario de todo el directorio que corresponde al dominio gestionado para que pertenezca al 
usuario y grupo dkim-milter: 

chown -R dkim-milter:dkim-milter /etc/mail/dkim-milter/keys/mi-dominio.com 
Edite el archivo de configuración /etc/mail/dkim-milter/dkim-filter.conf: 
vi /etc/mail/dkim-milter/dkim-filter.conf 


Si planea utilizar Sendmail como MTA, busque las siguientes opciones y defina para éstas los valores que se 
muestras a continuación. 


AutoRestart yes 
Domain mi-dominio.com 
Selector default 

Socket local:/var/run/dkim-milter/dkim-milter.sock 
Syslog Yes 
X-Header Yes 


Si planea utilizar Postfix como MTA, busque las siguientes opciones y defina para éstas los valores que se 
muestras a continuación. 


AutoRestart yes 

Domain mi-dominio.com 

Selector default 

Socket inet:20209§localhost 

Syslog Yes 

X-Header Yes 


Edite el archivo /etc/mail/dkim-milter/keys/keylist: 


vi /etc/mail/dkim-milter/keys/keylist 


Afiada el siguiente contenido para definir que se firmará el correo de todos los usuarios (*@mi-dominio.com) 
del dominio a gestionar (mi-dominio.com) utilizando el archivo de firma digital correspondiente 

(/etc/mail/dkim-milter/keys/mi-dominio.com/default): 


*@mi-dominio.com:mi-dominio.com:/etc/mail/dkim-milter/keys/mi-dominio.com/default 


88.3.3. Configuración del MTA. 

88.3.3.1. Procedimientos de configuración de Sendmail. 

Edite el archivo /etc/mail/sendmail.mc. 


vim /etc/mail/sendmail.mc 


Es necesario agregar el siguiente contenido resaltado en el archivo /etc/mail/sendmail.mc, justo arriba de la 
línea MAILER(smtp)dnl. 
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dnl MASQUERADEDOMAIN(localhost)dnl 
dnl MASQUERADEDOMAIN(localhost.localdomain)dnl 
dnl MASQUERADE_DOMAIN(mydomainalias.com)dnl 
dnl MASQUERADEDOMAIN(mydomain.lan)dnl 

INPUT_MAIL_FILTER('dkim-milter’, 'S=local:/var/run/dkim-milter/dkim-milter.sock’ )dnl 
define('confMILTER_MACROS_ENVFROM', {i}, {auth_type}, {auth_authen}, {auth_ssf}, {auth_author}, 

{mail_mailer}, {mail_host}, {mail_addr}‘ )dnl 
define('confINPUT_MAIL_FILTERS', 'dkim-milter ‘ )dnl 

MAILER(smtp)dnl 
MAILER(procmail)dnl 
dnl MAILER(cyrusv2)dnl 


Utilice lo siguiente si se combina con Clamav Milter y Spamassassin Milter: 


dnl MASQUERADEDOMAIN(localhost)dnl 
dnl MASQUERADE_DOMAIN(localhost.localdomain)dnl 
dnl MASQUERADE_DOMAIN(mydomainalias.com)dnl 
dnl MASQUERADEDOMAIN(mydomain.lan)dnl 

INPUT_MAIL_FILTER('dkim-milter’, 'S=local:/var/run/dkim-milter/dkim-milter.sock' )dnl 
INPUT_MAIL_FILTER('spamassassin’, 'S=unix:/var/run/spamass-milter/spamass-milter.sock, F=, 

T=C:15m;S:4m;R:4m;E:lOm 1 )dnl 

INPUT_MAIL_FILTER('clamav', 'S=local:/var/run/clamav-milter/clamav.sock, F=, T=S:4m;R:4m' )dnl 
define(confMILTER_MACROS_ENVRCPT', b, r, v, Z')dnl 

define('confMILTER_MACROS_ENVFROM', {i}, {auth_type}, {auth_authen}, {auth_ssf}, {auth_author}, 

{mail_mailer}, {mail_host}, {mail_addr}‘ )dnl 

define('confINPUT_MAIL_FILTERS 1 , 'dkim-milter,spamassassin,clamav‘ )dnl 

MAILER(smtp)dnl 
MAILER(procmail)dnl 
dnl MAILER(cyrusv2)dnl 


Utilice lo siguiente si se combina con Clamav Milter, Spamassassin Milter y Milter Greylist: 


dnl MASQUERADEDOMAIN(localhost)dnl 
dnl MASQUERADEDOMAIN(localhost.localdomain)dnl 
dnl MASQUERADE_DOMAIN(mydomainalias. com)dnl 
dnl MASQUERADEDOMAIN(mydomain.lan)dnl 

INPUT_MAIL_FILTER(’dkim-miLter’, ' S=local:/var/run/dkim-milter/dkim-milter.sock' )dnl 
INPUT_MAIL_FILTER('greylist’, 'S=local:/var/run/milter-greylist/milter-greylist.sock‘ )dnl 
INPUT_MAIL_FILTER(’spamassassin', ’S=unix:/var/run/spamass-milter/spamass-milter.sock, F=, 

T=C:15m;S:4m;R:4m;E:lOm' )dnl 

INPUT_MAIL_FILTER( clamav', 'S=local:/var/run/clamav-milter/clamav.sock, F=, T=S:4m;R:4m' )dnl 
define('confMILTER_MACROS_ENVRCPT', b, r, v, Z, {greylist}' )dnl 
define(’confMILTER_MACROS_CONNECT', ’{_}, {j}, {if_addr}, {daemon_port}' )dnl 
define('confMILTER_MACROS_HELO', {verify}, {cert_subject}' )dnl 

define('confMILTER_MACROS_ENVFROM', ’{i}, {auth_type}, {auth_authen}, {auth_ssf}, {auth_author}, 
{mail_mailer}, {mail_host}, {mail_addr}' )dnl 

define('confINPUT_MAIL_FILTERS’, 'dkim-milter,greylist,spamassassin,clamav’ )dnl 

MAILER(smtp)dnl 
MAILER(procmail)dnl 
dnl MAILER(cyrusv2)dnl 


Inicie el servicio dkim-milter. 


service dkim-milter start 

Afiada el servicio dkim-milter a los servicios de arranque del sistema: 

chkconfig dkim-milter on 

Reinicie el servicio sendmail para que surtan efectos los cambios. 

service sendmail restart 

A partir de este momento, todo el correo electrónico emitido por el servidor incluirá una firma digital que será 
validada por el registro TXT anunciado a través de los servidores DNS que resuelven el dominio. 
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88.3.3.2. Procedimientos de configuración de Postfix. 

Para un mejor funcionamiento, Postfix requiere que el servicio dkim-milter utilice un puerto (20209) en lugar 
de un archivo de zócalo para establecer la comunicación entre ambos. 


Edite el archivo /etc/sysconfig/dkim-milter: 


vi /etc/sysconfig/dkim-milter 


Anada el siguiente contenido: 


SOCKET=inet:20209@localhost 


Ejecute lo siguiente para anadir las opciones de configuración necesarias para Postfix: 


postconf -e "smtpd_milters = inet:localhost:20209" 
postconf -e "non_smtpd_milters = inet:localhost:20209" 
postconf -e "milter„protocol = 2" 
postconf -e "milter_default_action = accept" 


O bien edite el archivo /etc/postfix/main.cf: 


vi /etc/postfix/main.cf 


Y anada el siguiente contenido: 


smtpd_milters = inet:localhost:20209 
non_smtpd_milters = inet:localhost:20209 
milter_protocol = 2 
milter_default_action = accept 


Inicie el servicio dkim-milter. 


service dkim-milter start 


Anada el servicio dkim-milter a los servicios de arranque del sistema: 


chkconfig dkim-milter on 


Reinicie el servicio postfix para que surtan efectos los cambios. 


service postfix restart 


A partir de este momento, todo el correo electrónico emitido por el servidor incluirá una firma digital que será 
validada por el registro TXT anunciado a través de los servidores DNS que resuelven el dominio. 

88.3.4. Registro TXT en el zona de reenvío en el servidor DNS. 

El archivo default.txt correspondiente al dominio gestionado contiene el registro TXT correspondiente y que es 
necesario publicar para permitir al resto de los servidores de correo electrónico del mundo el poder validar los 
mensajes firmados con DKIM. Contiene algo similar lo siguiente: 
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default._domainkey IN TXT "v=DKIMl; g=*; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ 
8AMIIBCgKCAQEArwJp9KDhf44dzWbtzDucXa0JGCyLCLcHiUkmxwlMJn5i9+ivX6jmKo5kXrpzD0BrOu 
3bB0tKChd08Ozbx70w6+t3Ubmi8Dw+Sxc0rlvJtyOR4IpSLGJhmD7FP8q+fiaaY+NDEiqbdXdc8GYE4y 
DpN//X9F+J8PQH2rs+WFI0A+xob2ezOMpX/qIuZzPVDAgsDKIyeXV316Zc8vhlCq02ABFk/GfzZB5vYE 
kj Fs8HKdj7ulnztGuOX0JVQHmt9BzwSUwIoEuUpaNiLs0UnxCKen4krme5ARZvSo5tQCm3GmXUMe6FGs 
X2LM/bg2WDMzfNP2/NLRgXapFWiZIV9tmXcwIDAQAB" ; - DKIM default for mi-dominio.com 


Si el registro resulta ser demasiado grande para ser utilizado por algunas versiones de servidores de DNS o 
bien limitaciones de la interfaz gráfica para administración, puede utilizarse éste segmentando del siguiente 
modo: 


default,_domainkey IN TXT ( "v=DKIMl; g=*; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOC" 
"AQ8AMIIBCgKCAQEArwJp9KDhf44dzWbtzDucXa0JGCyLCLcHiUkmxwlMJn5i9+ivX6jmKo5kXrpzD0B" 
"rOu3bB0tKChd08Ozbx70w6+t3Ubmi8Dw+Sxc0rlvJtyOR4IpSLGJhmD7FP8q+fiaaY+NDEiqbdXdc8G" 
"YE4yDpN//X9F+J8PQH2rs+WFI0A+xob2ezOMpX/qIuZzPVDAgsDKIyeXV316Zc8vhlCq02ABFk/GfzZ" 
"B5vYEkj Fs8HKdj7ulnztGuOX0JVQHmt9BzwSUwIoEuUpaNiLs0UnxCKen4krme5ARZvSo5tQCm3GmXU" 
"Me6FGsX2LM/bg2WDMzfNP2/NLRgXapFWiZIV9tmXcwIDAQAB" ) 


La segmentación se realiza encerrando entre paréntesis el valor del registro TXT y dividiendo la firma en 
cualquier número de partes de hasta 80 caracteres encerradas entre comillas dobles. Es importante senalar 
que debido al tamano del registro TXT para firmas de 2048 bits, será imposible anadirlo a través de nsupdate y 
por tanto sólo será posible hacerlo editando directamente el archivo correspondiente a la zona de reenvío del 
dominio. 

Ejecute lo siguiente para verificar el registro después de ser anadido a la zona de reenvío del dominio 
involucrado: 

dig default._domainkey.mi-dominio.com TXT 


La respuesta debe ser similar a la siguiente: 


; «» DiG 9.8.2rcl-RedHat-9.8.2-0.23. rcl. e!6 5.1 «» 
default,_domainkey.mi-dominio.com TXT 
;; global options: +cmd 
;; Got answer: 

;; -»HEADER«- opcode: QUERY, status: NOERROR, id: 23403 

;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 

;; QUESTION SECTION: 

jdefault. _domainkey.mi-dominio.com. IN TXT 
;; ANSWER SECTION: 

default._domainkey.mi-dominio.com. 1440 IN TXT "v=DKIMl; g=*; k=rsa; p=MIIBI 
jANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEArwJp9KDhf44dzWbtzDucXa0JGCyLCLcHiUkmxwlMJ 
n5i9+ivX6jmKo5kXrpzD0BrOu3bB0tKChd08Ozbx70w6+t3Ubmi8Dw+Sxc0rlvJtyOR4IpSLGJhmD7FP 
8q+fiaaY+NDEiqbdXdc8GYE4yDpN//X9F+J8PQH2rs+WFI0A+xob2ezOMpX/qIuZzPVDAgsDKIyeXV31 
6Zc8vhlCq02ABFk/GfzZB5vYEkj Fs8HKdj7ulnztGuOX0JVQHmt9BzwSUwIoEuUpaNiLs0UnxCKen4kr 
me5ARZvSo5tQCm3GmXUMe6FGsX2LM/bg2WDMzfNP2/NLRgXapFWiZIV9tmXcwIDAQAB" 

;; Query time: 75 msec 

;; SERVER: 127.0.0.1#53(127.0.0.1) 

;; WHEN: Tue Mar 25 12:32:33 2014 
;; MSG SIZE rcvd: 312 


Es importante senalar que este registro debe ser publicado sólo hasta haber concluida la configuración de 
Sendmail o Postfix y se debe esperar desde 1 hasta 24 horas para que el nuevo registro sea replicado en el 
resto de los servidores DNS del mundo. Éste es el motivo por el cual se recomienda realizar los procedimientos 
sólo durante el fin de semana. 
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89. Instalación y configuración de OpenDKIM. 
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© 1999-2016 Joel Barrios Duenas. Usted es libre de copiar, distribuir y comunicar públicamente la obra y hacer obras derivadas bajo las condiciones siguientes: a) 
Debe reconocer y citar al autor original. b) No puede utilizar esta obra para fines comerciales. c) Si altera o transforma esta obra o genera una obra derivada, sólo 
puede distribuir la obra generada bajo una licencia idéntica a ésta. Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. 
Alguna de estas condiciones puede no aplicarse si se obtiene el permiso del titular de los derechos de autor. Los derechos derivados de usos legítimos u otras 
limitaciones no se ven afectados por lo anterior. La información contenida en este documento y los derivados de éste se proporcionan tal cual son y los autores no 
asumirán responsabilidad alguna si el usuario o lector hace mal uso de éstos. 


89.1. Introducción. 

Este documento incluye los procedimientos necesarios para configurar OpenDKIM con Sendmail o Postfix en 
CentOS 7 o Red Hat™ Enterprise Linux 7. 

89.1.1. Acerca de DKIM. 

DKIM (DomairtKeys Identified Mail) es un mecanismo de autenticación de correo electrónico que permite firmar 
los mensajes de correo electrónico con una llave privada —de 1024 a 2048 bits— de modo que éste pueda ser 
validado por un destinatario a través de una llave pública distribuida a través de DNS. 

Fue disenado para combatir la falsificación de correo electrónico (ma/7 spoofing), práctica muy utilizada para 
enviar spam que consiste en falsificar el valor del campo de la cabecera "From:" de un mensaje de corro 
electrónico, es decir el remitente, cuando en realidad proviene de un servidor distinto al que realmente 
corresponde al dominio involucrado, dificultando de este modo el poder hacer reclamos o bien enganar a los 
servidores de correo electrónico para que reciban spam como correo legítimo aprovechando un defecto del 
protocolo SMTP. Todos los grandes servicios de correo electrónico —incluidos GMail, Hotmail/Outlook.com, 
Yahoo y Fastmail— utilizan esta tecnología para mitigar el problema del spam. 

DKIM también impide la manipulación de correo electrónico, garantizando la integridad de extremo a extremo, 
desde el módulo firmante en el servidor de correo de origen, que inserta una firma DKIM en las cabeceras del 
mensaje, hasta el módulo de comprobación en el servidor de destino que valida la firma obteniendo la llave 
pública del firmante a través de un registro TXT en la zona de DNS que resuelve el domino del remitente. 

89.1.2. Acerca de OpenDKIM. 

OpenDKIM es un proyecto mantenido por la comunidad y The Trusted Domain Project y derivado de dkim-milter 
2.8.3, el cual originalmente desarrollado por Sendmail, Inc. Consiste en una biblioteca compartida que 
implementa el servicio y la aplicación de filtrado de correo ( milter ) que puede ser utilizado por cualquier MTA 
compatible con el protocolo milter. 

El paquete opendkim sustituye a dkim-milter en CentOS 7 y Red Hat™ Enterprise Linux 7. Puede ser 
utilizado en versiones anteriores de éstos pero requiere actualizar la versión de libmemcached e instalar libbsd, 
por tal motivo es que en versiones anteriores y de legado se prefiere seguir utilizando dkim-milter. 

URL: http://opendkim.org/ 

89.2. Equipamiento lógico necesario. 

89.2.1. Instalación a través de yum. 
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ALDOS y Fedora™ ya incluyen lo necesario para realizar la instalación del paquete necesario. Si utiliza 
CentOS o Red Hat™ Enterprise Linux, puede utilizar el almacén YUM de Alcance Libre para servidores en 
producción, descargando el archivo http://www.alcancelibre.org/al/server/AL-Server.repo dentro del 
directorio /etc/yum.repos.d/: 


wget -N http://www.alcancelibre.org/al/server/AL-Server.repo \ 
-0 /etc/yum.repos.d/AL-Server.repo 


Examine el contenido del archivo /etc/yum.repos.d/AL-Server.repo: 


vi /etc/yum.repos.d/AL-Server.repo 


El contenido debe ser el siguiente: 


[AL-Server] 

name=AL Server para Enterprise Linux Sreleasever 

mirrorlist=http://www.alcancelibre.org/al/el$releasever/al-server 

gpgcheck=l 

gpgkey=http://www.alcancelibre.org/al/AL-RPM-KEY 


Salga del editor de texto y ejecute lo siguiente para instalar lo necesario: 


yum -y install opendkim 


89.3. Procedimientos. 

89.3.1. Servicio opendkim y SELinux. 

Debe saber que el Control de Acceso Discrecional (Discretionary Access Control o DAC) es una función que 
se encarga de gestionar las banderas estándar de pertenencia y permisos en el sistema de archivos. 
OpenmDKIM requiere la capacidad de ignorar la pertenencia y permisos de sus propios archivos en el sistema 
de archivos. De modo predeterminado SELinux impide que ésto ocurra con éste y muchos otros servicios, 
por tanto hay que generar una política específica para OpenDKIM. 

Genere un nuevo directorio denominado /usr/share/selinux/packages/opendkim: 

mkdir -p /usr/share/selinux/packages/opendkim 

Cambie al directorio /usr/share/selinux/packages/opendkim: 

cd /usr/share/selinux/packages/opendkim 

Descargue el archivo http://www.alcancelibre.org/linux/secrets/opendkim.te: 

wget http://www.alcancelibre.org/linux/secrets/opendkim.te 

Edite el archivo recién descargado: 

vi opendkim.te 

Asegúrese que éste tenga el siguiente contenido: 
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module opendkim 1.0; 
require { 

type dkim_milter_t; 

class capability dac_override; 

} 

#============= dkim_milter_t ============== 

allow dkim_milter_t self:capability dac_override; 


Lo anterior fue obtenido de la salida de cat /var/log/audit/audit.log|grep audit|audit2ailow -m 
opendkim>opendkim.te en un sistema donde SELinux impedía a opendkimignoar el DAC. 

Genere el archivo de módulo para SELinux (opendkim.mod) ejecutando checkmodule del siguiente modo: 


checkmodule -M -m -o opendkim.mod opendkim.te 


Empaquete el archivo opendkim.mod como el archivo opendkim.pp: 

semodule_package -o opendkim.pp -m opendkim.mod 


Vincule el archivo opendkim.pp obtenido con las políticas actuales de SELinux y cargue éstas en el núcleo en 
ejecución: 


semodule -i /usr/share/selinux/packages/opendkim/opendkim.pp 


Puede eliminar los archivos opendkim.te y opendkim.mod, pues sólo será necesario conservar el archivo 
binario opendkim.pp. 

89.3.2. Creación de firma digital y configuración del servicio dkim-milter. 

Si utiliza o bien planea utilizar Virtualmin para administrar o gestionar DKIM, por favor omita todos los 
procedimientos a continuación, debido a que este módulo para VVebmin realiza todo lo necesario y porque 
éste ignorará y eliminará cualquier firma digital y configuración para dominio que se haya configurado fuera de 
la interfaz de Virtualmin. 

Genere un directorio especifico para el dominio a configurar con OpenDKIM: 
mkdir /etc/opendkim/keys/dominio.com 


Cambie al directorio /etc/opendkim/keys/dominio.com: 
cd /etc/opendkim/keys/dominio.com 


Ejecute opendkim-genkey con la opción -b y 2048 como argumento para crear una nueva firma digital de 2048 
bits, la opción -r para definir que la firma a crear sólo puede ser utilizar para firmar correo electrónico, la opción 
-d con el dominio a utilizar como argumento y la opción -s para indicar el nombre del selector deseado. Éste 
último pude ser cualquier cadena de texto que se desee y sirve simplemente para identificar el registro. Se 
recomienda utilizar default o bien el aho en que se está generando la firma digital. Ejemplo: 

opendkim-genkey -r -b 2048 -d dominio.com -s default 
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Lo anterior creará los archivos denominados default.private y default.txt; el primero corresponde a la firma 
digital que se utilizará para firmar todos los mensajes de correo; el segundo corresponde al archivo que incluye 
el registro TXT que debe ahadirse a la zona de reenvío del dominio. 

Se recomienda genere la firma digital a cuando menos 2048 bits. El uso y validación de firmas a 1024 bits será 
descartado en un futuro cercano. 

Cambie el nombre del archivo default.private a simplemente default: 
mv default.private default 


Regrese a su directorio de inicio: 


cd 


Cambie el propietario de todo el directorio que corresponde al dominio gestionado para que pertenezca al 
usuario y grupo opendkim: 

chown -R opendkim:opendkim /etc/opendkim/keys/dominio.com 
Edite el archivo de configuración /etc/opendkim.conf. 
vi /etc/opendkim.conf 


Lo primero a modificar es el modo de funcionamiento cambiando el valor de la función Mode. Pude hacer sólo 
verificación, sólo firma o bien firma y verificación. El valor predeterminado es sólo verificación (v). Para realizar 
firma y verificación debe cambiarse el valor por sv. 


Mode sv 


Localice la opción KeyFile alrededor de la línea 65 y desactive ésta colocando una almohadilla al inicio de la 
línea: 


# KeyFile /etc/opendkim/keys/default.private 

En lugar de lo anterior se utilizará KeyTable, lo cual permitirá utilizar múltiples dominios, cada uno con su propia 
firma. Descomente la siguiente línea: 

Keyïable /etc/opendkim/Keyïable 

Igualmente y por las mismas razones active las opciones SigningTable, ExternallgnoreList e InternalHosts: 


SigningTable refile:/etc/opendkim/SigningTable 
ExternalIgnoreList refile:/etc/opendkim/TrustedHosts 

InternalHosts refile:/etc/opendkim/TrustedHosts 


SigningTable se utiliza para definir una tabla usada para seleccionar una o más firmas para aplicar a un 
mensaje basado sobre la dirección de correo encontrada en el campo From de la cabecera. Es decir indica a 
OpenDXIM como utilizar las firmas. 
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ExternallgnoreList se utiliza para definir la tabla de anfitriones que pueden enviar correo a través del servidor 
sin necesidad de credenciales. 


InternalHosts se utiliza para definir la tabla de anfitriones cuyo correo debe ser firmado pero nunca se debe 
verificar. Para fines prácticos, utiliza el mismo archivo que ExternallgnoreList. 


El archivo de configuración debe quedar del siguiente modo: 


PidFile /var/run/opendkim/opendkim.pid 

Mode sv 

Syslog yes 

SyslogSuccess yes 

LogWhy yes 

UserlD opendkim:opendkim 
Socket inet:8891§localhost 
Umask 002 

Canonicalization relaxed/relaxed 

Selector default 

MinimumKeyBits 1024 

KeyTable /etc/opendkim/KeyTable 

SigningTable refile:/etc/opendkim/SigningTable 

ExternalIgnoreList refile:/etc/opendkim/T rustedHosts 

InternalHosts refile:/etc/opendkim/T rustedHosts 


Edite el archivo /etc/opendkim/KeyTable: 


vi /etc/opendkim/KeyTable 


Defina el nombre del selector que utilizó arriba para generar la firma digital y defina el dominio a utilizar. 


default._domainkey. dominio.com dominio.com : default: /etc/opendkim/keys/dominio.com/def ault 


Edite el archivo /etc/opendkim/SigningTable: 

vi /etc/opendkim/SigningTable 

El contenido debe indicar qué selector y firma digital utilizar para firmar el correo de el dominio. Ejemplo: 


*@dominio.com default,_domainkey. dominio.com 


Edite el archivo /etc/opendkim/TrustedHosts: 

vi /etc/opendkim/TrustedHosts 


Defina como mínimo las direcciones IPv4 e IPv6 del anfitrión local, el nombre de anfitrión del servidor y el 
bloque de direcciones que corresponda a la red de área local: 


127.0.0.1 
: : 1 

mail. dominio.com 

192.168.1.0/24 


Active el servicio opendkim ejecutando lo siguiente: 

systemctl enable opendkim 
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Inicie el servicio opendkim ejecutando lo siguiente: 


systemctl start opendkim 


89.3.3. Configuración del MTA. 

89.3.3.1. Procedimientos de configuración de Sendmail. 

Edite el archivo /etc/mail/sendmail.mc. 


vim /etc/mail/sendmail.mc 


Es necesario agregar el siguiente contenido resaltado en el archivo /etc/mail/sendmail.mc, justo arriba de la 
línea MAILER(smtp)dnl. 


dnl MASQUERADEDOMAIN(localhost)dnl 
dnl MASQUERADE_DOMAIN(localhost.localdomain)dnl 
dnl MASQUERADE_DOMAIN(mydomainalias.com)dnl 
dnl MASQUERADEDOMAIN(mydomain.lan)dnl 

INPUT_MAIL_FILTER('opendkim', 'S=inet:8891@127.0.0.1' )dnT 
define('confINPUT_MAIL_FILTERS', 'opendkim' )dnl 

MAILER(smtp)dnl 
MAILER(procmail)dnl 
dnl MAILER(cyrusv2)dnl 


Utilice lo siguiente si se combina con Clamav Milter y Spamassassin Milter: 


dnl MASQUERADEDOMAIN(localhost)dnl 
dnl MASQUERADEDOMAIN(localhost.localdomain)dnl 
dnl MASQUERADE_DOMAIN(mydomainalias.com)dnl 
dnl MASQUERADEDOMAIN(mydomain.lan)dnl 

INPUT_MAIL_FILTER(opendkim', 'S=inet:8891@127.0.0.1' )dnl 

INPUT_MAIL_FILTER('spamassassin 1 , 'S=unix:/var/run/spamass-milter/spamass-milter.sock, F=, 

T=C: 15m;S:4m;R:4m;E: 10m’ )dnl 

INPUT_MAIL_FILTER('clamav', 'S=local:/var/run/clamav-milter/clamav.sock, F=, T=S:4m;R:4m' )dnl 

define(confMILTER_MACROS_ENVRCPT', b, r, v, Z')dnl 

define('confINPUT_MAIL_FILTERS’, 'opendkim,spamassassin,clamav' )dnl 

MAILER(smtp)dnl 
MAILER(procmail)dnl 
dnl MAILER(cyrusv2)dnl 


Utilice lo siguiente si se combina con Clamav Milter, Spamassassin Milter y Milter Greylist: 


dnl MASQUERADE DOMAIN (localhost) dnl 
dnl MASQUERADEDOMAIN(localhost.localdomain)dnl 
dnl MASQUERADE_DOMAIN(mydomainalias. com)dnl 
dnl MASQUERADEDOMAIN(mydomain.lan)dnl 

INPUT_MAIL_FILTER( opendkim', 'S=inet:8891@127.0.0.1' )dnl 

INPUT_MAIL_FILTER(’greylist', 'S=local:/var/run/milter-greylist/milter-greylist.sock' )dnl 
INPUT_MAIL_FILTER('spamassassin’, 'S=unix:/var/run/spamass-milter/spamass-milter.sock, F=, 
T=C:15m;S:4m;R:4m;E:10m' )dnl 

INPUT_MAIL_FILTER('clamav', 'S=local:/var/run/clamav-milter/clamav.sock, F=, T=S:4m;R:4m' )dnl 

define(confMILTER_MACROS_ENVRCPT', b, r, v, Z, {greylist}' )dnl 

define('confMILTER_MACROS_CONNECT', '{_}, {j}, {if_addr}, {daemon_port}' )dnl 

define('confMILTER_MACROS_HELO', {verify}, {cert_subject}' )dnl 

define('confMILTER_MACROS_ENVFROM', {i}, {auth_authen}' )dnl 

define('confINPUT_MAIL_FILTERS’, ' opendkim,greylist,spamassassin,clamav' )dnl 

MAILER(smtp)dnl 

MAILER(procmail)dnl 

dnl MAILER(cyrusv2)dnl 


Reinicie el servicio sendmail para que surtan efectos los cambios. 
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systemctl restart sendmail 

A partir de este momento, todo el correo electrónico emitido por el servidor incluirá una firma digital que será 
validada por el registro TXT anunciado a través de los servidores DNS que resuelven el dominio. 

89.3.3.2. Procedimientos de configuración de Postfix. 

Ejecute lo siguiente para afiadir las opciones de configuración necesarias para Postfix: 


postconf -e 'smtpd_milters = inet:127.0.0.1:8891' 
postconf -e 'non_smtpd_milters = $smtpd_milters'; 
postconf -e 'milter_default_action = accept' 
postconf -e 'milter_protocol = 2' 


O bien edite el archivo /etc/postfix/main.cf: 


vi /etc/postfix/main.cf 


Y afiada el siguiente contenido: 


smtpd_milters = inet:127.0.0.1:8891 
non_smtpd_milters = $smtpd_milters 
milter_default_action = accept 
milter_protocol = 2 


Reinicie el servicio postfix para que surtan efectos los cambios. 


systemctl restart postfix 


89.3.4. Registro TXT en el zona de reenvío en el servidor DNS. 

Revise el contenido del archivo /etc/opendkim/keys/dominio.com/default.txt: 


cat /etc/opendkim/keys/dominio.com/default .txt 


El archivo default.txt correspondiente al dominio gestionado contiene el registro TXT correspondiente y que es 
necesario publicar para permitir al resto de los servidores de correo electrónico del mundo el poder validar los 
mensajes firmados con DKIM. Contiene algo similar lo siguiente: 


default,_domainkey IN TXT "v=DKIMl; g=*; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ 
8AMIIBCgKCAQEArwJp9KDhf44dzWbtzDucXa0JGCyLCLcHiUkmxwlMJn5i9+ivX6jmKo5kXrpzD0BrOu 
3bB0tKChd08Ozbx70w6+t3Ubmi8Dw+Sxc0rlvJtyOR4IpSLGJhmD7FP8q+fiaaY+NDEiqbdXdc8GYE4y 
DpN//X9F+J8PQH2rs+WFI0A+xob2ezOMpX/qIuZzPVDAgsDKIyeXV316Zc8vhlCq02ABFk/GfzZB5vYE 
kj Fs8HKdj7ulnztGuOX0JVQHmt9BzwSUwIoEuUpaNiLs0UnxCKen4krme5ARZvSo5tQCm3GmXUMe6FGs 
X2LM/bg2WDMzfNP2/NLRgXapFWiZIV9tmXcwIDAQAB" ; - DKIM default for dominio.com 


Si el registro resulta ser demasiado grande para ser utilizado por algunas versiones de servidores de DNS o 
bien limitaciones de la interfaz gráfica para administración, puede utilizarse éste segmentando del siguiente 
modo: 
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default._domainkey IN TXT ( "v=DKIMl; g=*; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOC" 
"AQ8AMIIBCgKCAQEArwJp9KDhf44dzWbtzDucXa0JGCyLCLcHiUkmxwlMJn5i9+ivX6jiriKo5kXrpzD0B" 
"rOu3bB0tKChd08Ozbx70w6+t3Ubmi8Dw+Sxc0rlvJtyOR4IpSLGJhmD7FP8q+fiaaY+NDEiqbdXdc8G" 
"YE4yDpN//X9F+J8PQH2rs+WFI0A+xob2ezOMpX/qIuZzPVDAgsDKIyeXV316Zc8vhlCq02ABFk/GfzZ" 
"B5vYEkj Fs8HKdj7ulnztGuOX0JVQHmt9BzwSUwIoEuUpaNiLs0UnxCKen4krme5ARZvSo5tQCm3GmXU" 
"Me6FGsX2LM/bg2WDMzfNP2/NLRgXapFWiZIV9tmXcwIDAQAB" ) 


La segmentación se realiza encerrando entre paréntesis el valor del registro TXT y dividiendo la firma en 
cualquier número de partes de hasta 80 caracteres encerradas entre comillas dobles. Es importante senalar 
que debido al tamano del registro TXT para firmas de 2048 bits, será imposible anadirlo a través de nsupdate y 
por tanto sólo será posible hacerlo editando directamente el archivo correspondiente a la zona de reenvío del 
dominio. 

Ejecute lo siguiente para verificar el registro después de ser anadido a la zona de reenvío del dominio 
involucrado: 


dig default._domainkey.dominio.com TXT 


La respuesta debe ser similar a la siguiente: 


; «» DiG 9.8.2rcl-RedHat-9.8.2-0.23. rcl. el6 5.1 «» 
default,_domainkey. dominio.com TXT 
;; global options: +cmd 
;; Got answer: 

;; -»HEADER«- opcode: QUERY, status: NOERROR, id: 23403 

;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 

;; QUESTION SECTION: 

;default. _domainkey.dominio.com. IN TXT 
;; ANSWER SECTION: 

default._domainkey.dominio.com. 1440 IN TXT "v=DKIMl; g=*; k=rsa; p=MIIBI 
jANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEArwJp9KDhf44dzWbtzDucXa0JGCyLCLcHiUkmxwlMJ 
n5i9+ivX6jmKo5kXrpzD0BrOu3bB0tKChd08Ozbx70w6+t3Ubmi8Dw+Sxc0rlvJtyOR4IpSLGJhmD7FP 
8q+fiaaY+NDEiqbdXdc8GYE4yDpN//X9F+J8PQH2rs+WFI0A+xob2ezOMpX/qIuZzPVDAgsDKIyeXV31 
6Zc8vhlCq02ABFk/GfzZB5vYEkj Fs8HKdj7ulnztGuOX0JVQHmt9BzwSUwIoEuUpaNiLs0UnxCKen4kr 
me5ARZvSo5tQCm3GmXUMe6FGsX2LM/bg2WDMzfNP2/NLRgXapFWiZIV9tmXcwIDAQAB" 

;; Query time: 75 msec 

;; SERVER: 127.0.0.1#53(127.0.0.1) 

;; WHEN: Tue Mar 25 12:32:33 2014 
;; MSG SIZE rcvd: 312 


Es importante senalar que este registro debe ser publicado sólo hasta haber concluida la configuración de 
Sendmail o Postfix y se debe esperar desde 1 hasta 24 horas para que el nuevo registro sea replicado en el 
resto de los servidores DNS del mundo. Éste es el motivo por el cual se recomienda realizar los procedimientos 
sólo durante el fin de semana. 

89.4. Bibliografía: 

• es.wikipedia.org/wiki/DomainKeys_ldentified_Mail 
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90. Configuración y uso del programa vacation. 

Autor: Joel Barrios Duehas 

Correo electrónico: darkshram@gmail.com 
sitio de Red: http://www.alcancelibre.org/ 

Creative Commons Reconocimiento-NoComercial-Compartirlgual 2.1 
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90.1. Introducción. 

Vacation es un pequeno pero útil programa que permite configurar cuentas de correo electrónico para que 
respondan automáticamente con un mensaje que indica que el usuario se encuentra de vacaciones. 

90.2. Equipamiento lógico necesario. 

90.2.1. Instalación a través de yum. 

Si utiliza CentOS o Red Hat™ Enterprise Linux, primero configure el almacén YUM de Alcance Libre: 


cd /etc/yum.repos.d/ 

wget -N http://www.alcancelibre.org/al/server/AL-Server.repo 
cd - 


Para instalar el paquete, ejecute: 


yum -y install vacation 


90.3. Vacation y SELinux. 

SELinux impedirá que Sendmail pueda ejecutar el programa vacation. El siguiente procedimiento crea una 
política que permitirá a vacation operar normalmente. 

Crear el directorio /usr/share/selinux/packages/vacation: 


mkdir /usr/share/selinux/packages/vacation 


Cambiarse al directorio /usr/share/selinux/packages/vacation: 


cd /usr/share/selinux/packages/vacation 


Descargar desde Alcance Libre el archivo http://www.alcancelibre.org/linux/secrets/vacation.te: 


wget http://www.alcancelibre.org/linux/secrets/vacation.te 


Editar el archivo vacation.te: 


818 







Joel Barrios Duenas 


Configuración de Servidores con GNU/Linux 


vi vacation.te 


Verificar que el archivo vacation.te tenga el siguiente contenido: 


module vacation 1.0; 

require { 

type sendmail_t; 
type etc_runtime_t; 
class file { execute }; 


#============= sendmail_t ============== 

allow sendmail_t etc_runtime_t:file execute; 


Crear el archivo de módulo vacation.mod a partir del archivo vacation.te: 


checkmodule -M -m -o vacation.mod vacation.te 


Crear el archivo de política vacation.pp a partir del archivo vacation.mod 


semodule_package -o vacation.pp -m vacation.mod 


Incluir la política al sistema: 


semodule -i /usr/share/selinux/packages/vacation/vacation.pp 


Regrese al directorio de inicio de root. 


cd 


90.4. Procedimientos. 

Primero ingrese al sistema como root. 

A fin de que Sendmail permita utilizar el programa vacation, es necesario crear primero un enlace simbólico 
dentro el directorio /etc/smrsh y éste que apunte hacia /usr/bin/vacation. Ejecute lo siguiente: 


ln -s /usr/bin/vacation /etc/smrsh/vacation 


Es indispensable que el usuario a utilizar tenga acceso al intérprete de mandatos, de otro modo será imposible 
utilizar el programa vacation. Asigne al usuario /bin/bash como intérprete de mandatos o bien /bin/sh 
ejecutando lo siguiente: 


usermod -s /bin/bash usuario 


Cambie a la sesión del usuario: 


su -1 usuario 


Utilice vi para crear el archivo -/.vacation.msg: 
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vi -/.vacation.msg 


Pulse la tecla Insert. 

Coloque dentro del archivo un contenido similar al siguiente, evitando utilizar tildes, la letra n y cualquier otro 
carácter distinto a los de las tabla ASCII: 


Subject: Estoy de vacaciones. 

From: como se llame <usuario@mi-dominio.com.mx> 

Reply-To: como se llame <usuario@mi-dominio.com.mx> 

Buen dia, por el momento no me encuentro en la oficina, estoy de regreso el 
proximo DD de MMMM de AAAA. 

Reciba un cordial saludo. 

Atentamente 

Lic. como se llame 

NOTA: Mensaje *intencionalmente* enviado sin acentos. 


Pulse la tecla Esc, guarde cambios y salga de vi pulsando la combinación de teclas :wq y luego la tecla <=9 

(ENTER). 

Utilice vi para crear el archivo ~/.forward: 


vi ~/.forward 


Pulse la tecla Insert. 


Anada el siguiente contenido, tomando en cuenta que la omisión de la barra invertida (\) al inicio hará que el 
programa vacation falle irremediablemente: 

\usuario, "|/usr/bin/vacation usuario" 

Pulse la tecla Esc, guarde cambios y salga de vi pulsando la combinación de teclas :wq y luego la tecla <=3 

(ENTER). 

Cambie los permisos del archivo para que solo permitan la lectura y escritura al usuario propietario de éste. 

chmod 600 ~/.forward 

Como usuario ejecute el siguiente mandato, a fin de iniciar el programa. 

vacation -I 

Salga de la sesión del usuario. 

exit 

A partir de este momento, todo el correo electrónico que se envié a la cuenta del usuario, será respondido 
automáticamente con un aviso que incluirá el texto definido en el archivo /home/usuario/.vacation.msg. 

Para desactivar el programa, solo es necesario ingresar nuevamente al sistema como root y eliminar o 
renombrar el archivo /home/usuario/.forward. 


820 










Joel Barrios Duenas 


Configuración de Servidores con GNU/Linux 


mv /home/usuario/.forward /home/usuario/.forward.old 


Y definir de nuevo /dev/null, /bin/false o /sbin/nologin como intérprete de mandatos para el usuario. 


usermod -s /dev/null usuario 
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91.1. Introducción. 

SendmailAnalyzer es una herramienta de análisis de bitácoras de Sendmail y Postfix, creado y mantenido 
por Gilles Darold y distribuido bajo los términos de la licencia GNU/GPLv3. 

Procesa el contenido del archivo de bitácora de actividad de correo electrónico localizado en /var/log/maillog y 
genera estadísticas dinámicas en formato HTML con gráficos coloridos. Los reportes se generan en tiempo real 
de modo que permite analizar qué es lo que ocurre en un momento dado en el servidor de correo electrónico. 
Incluye vistas por hora, día, mes y ano. 

La instalación es relativamente fácil y permite muchas opciones de configuración para ajustarse a 
prácticamente cualquier configuración de Sendmail y Postfix. Incluye además soporte para la mayoría de los 
sistemas de filtrado para Sendmail y Postfix, como serían SpamAssassin, MailScanner, Clamav, Clamav- 
Milter, Amavis, verificación de RBL, J-ChkMail, etc. Es por todo ésto que representa una gran ayuda para los 
administradores de sistemas de servidores de correo electrónico. 

Los datos recolectados son almacenados en archivos que son automáticamente archivados o eliminados para 
cuidar el uso del espacio libre del la unidad de almacenamiento. Todos los reportes anteriores al día vigente son 
mantenidos en un cache para optimizar el uso de los recursos del sistema permitiendo mostrar éstos en menos 
de un segundo. 

URL: http://sendmailanalyzer.darold.net/ 

91.2. Equipamiento lógico necesario. 

Cambie al directorio de almacenes YUM del sistema. 


cd /etc/yum.repos.d/ 

Descargue la configuración para almacén YUM de AL-Server para CentOS y Red Hat™ Enterprise Linux. 

wget -N http://www.alcancelibre.org/al/server/AL-Server.repo 
Instale los paquetes sendmailanalyzer y mod_perl ejecutando lo siguiente: 

yum -y install sendmailanalyzer mod_perl 
Regrese al directorio de inicio. 
cd 
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91.3. Procedimientos 

Edite el archivo de configuración de SendmailAnalyzer: 

vi /etc/sendmailanalyzer.conf 


Alrededor de la línea 100, defina lang/sp_SP para en valor de la opción LANG, que corresponde a lo necesario 
para utilizar el idioma espanol para mostrar los reportes: 


# Same as above but with host distinction for use with rsyslog. 

# You can have multiple L0CAL_H0ST_D0MAIN lines, ie: one per host. 

#D0MAIN_H0ST_REP0RT sysloghostl domainl.com,domain2.com 

#D0MAIN_H0ST_REP0RT sysloghost2 domain3.com,domain4.com 

# Path to the language translation file (relative to the CGI directory). 

# Default: lang/en„US 

LANG lang/sp_SP 

# Size Unit to use, default is Bytes. Other values are KBytes and MBytes 

SIZE_UNIT MBytes 


Nota. 

Si se utiliza Webmin+Virtualmin, Apache sólo permite se ejecuten los guiones CGI con la misma identidad que se 
dispuso para suexec en la configuración para Apache para el anfitrión virtual del dominio involucrado. Es decir, se deben 
asignar el usuario y grupo definidos en la opción SuexecUserGroup de la configuración del anfitrión virtual creada por 
Virtualmin. 

chown -R dominio:dominio /var/www/sendmailanalyzer 

Para que SELinux permita utilizar los archivos de reportes en el cache, se requiere asignar de manera 
descendente el contexto httpd_sys_content_t al directorio /var/lib/sendmailanalyzer. Ejecute lo siguiente: 

chcon -R -t httpd_sys_content_t /var/lib/sendmailanalyzer 

Para que SELinux permita ejecutar el programa para ser utilizad a través de Apache, se requiere asignar el 
contexto httpd_sys„script_exec_t al archivo /var/www/sendmailanalyzer/sa_report.cgi. Ejecute lo siguiente: 

chcon -t httpd_sys_script_exec_t /var/www/sendmailanalyzer/sa_report.cgi 

Afiada el servicio sendmailanalyzer a los servicios de arranque del sistema ejecutando lo siguiente: 

chkconfig sendmailanalyzer on 

Inicie el servicio sendmailanalyzer ejecutando lo siguiente: 

service sendmailanalyzer start 

Edite archivo /etc/cron.d/sendmailanalyzer: 

vim /etc/cron.d/sendmailanalyzer 
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Descomente las tres tares para crond que hay en este archivo y cambie la ejecución cada 15 minutos a un 
periodo de tiempo mayor si acaso se trata de un servidor con poca relativamente actividad. 

# Sendmail log reporting daily cache 

0 1 * * * root /usr/bin/sa_cache > /dev/null 2>&1 

# Daemon restart after maillog logrotate (cron jobs at 4:04 every day) 

# Feel free to replace this line by an entry in /etc/logrotate.d/syslog 

4 4 * * * root /etc/rc.d/init.d/sendmailanalyzer restart > /dev/null 2>&1 

# On huge MTA you may want to have five minutes caching 
*/15 * * * * root /usr/bin/sa_cache -a > /dev/null 2>&1 


Reinicie el servicio crond ejecutando lo siguiente: 

service crond restart 


Genere el primer reporte ejecutando lo siguiente: 


sa_cache 


Edite el archivo /etc/httpd/conf.d/sendmailanalyzer.conf. 

vi /etc/httpd/conf.d/sendmailanalyzer.conf 


De modo predeterminado sólo permite el acceso desde el anfitrión local. 


# 

# By default sendmailanalyzer statistics are only accessible from the local host. 

# 

Alias /sareport /var/www/sendmailanalyzer 

<Directory /var/www/sendmailanalyzer> 

Options ExecCGI SymLinksIfOwnerMatch 

AddHandler cgi-script .cgi 

Directorylndex sa_report.cgi 

Order deny,allow 

Deny from all 

Allow from 127.0.0.1 

Allow from : : 1 

# allow from example.com 

</Directory> 


Limite o restrinja el acceso a SendmailAnalyzer modificando la configuración para Apache. Jamás permita el 
acceso sin restricciones porque de lo contrario se expondrían los nombres de las cuentas de correo electrónico 
mostradas en los reportes y éstas se verían inundadas de spam en pocos días. 


El siguiente ejemplo de configuración se utiliza un nombre de directorio virtual distinto al predeterminado para 
acceder a SendmailAnalyzer, limita el acceso a sólo usuarios con contrasena y obliga además a utilizar 
HTTPS para la conexión: 
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Alias /reportecorreo /var/www/sendmailanalyzer 

<Directory /var/www/sendmailanalyzer> 

Options ExecCGI SymLinksIfOwnerMatch 
AddHandler cgi-script .cgi 
Directorylndex sa_report.cgi 

# Order deny,allow 

# Deny from all 

# Allow from 127.0.0.1 

# Allow from ::1 

# allow from example.com 
RewriteEngine on 
RewriteCond %{HTTPS} !=on 

RewriteRule (.*) https://%{HTTP HOST}%{REQUEST_URI} 
AuthName "Solo usuarios autorizados" 

AuthType Basic 
Require valid-user 

AuthUserFile /var/www/sendmailanalyzer/.htpasswd 

</Directory> 


Genere archivo de contrasenas y asigne un usuario ejecutando lo siguiente: 

htpasswd -c /var/www/sendmailanalyzer/.htpasswd administrador 

Configure los permisos de acceso de este archivo para que sólo pueda ser utilizado por Apache: 

chown apache:apache /var/www/sendmailanalyzer/.htpasswd 
chmod 440 /var/www/sendmailanalyzer/.htpasswd 


Reinicie el servicio httpd a fin de que surtan efecto los cambios a la configuración ara Apache: 


service httpd restart 


Acceda hacia https://servidor.dominio.tld/reportecorreo/ y verifique las restricciones en el acceso. Examine los 
reportes por hora, día, mes o ano de acuerdo a lo que desee. 



Vista de reporte mensual de SendmailAnalyzer. 
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92.1. Introducción. 

92.1.1. Acerca de LDAP. 

LDAP (Lightvveight Directory Access Protocol) es un protocolo para consulta y modificación de servicios de 
directorio que se desempenan sobre TCP/IP. LDAP utiliza el modelo X.500 para su estructura, es decir, se 
estructura árbol de entradas, cada una de las cuales consiste de un conjunto de atributos con nombre y que a 
su vez almacenan valores. 

El inicio de la operación StartTLS en un servidor LDAP, establece la comunicación TLS (Transport Layer 
Security o Seguridad para Nivel de Transporte) a través del mismo puerto 389 por TCP. Provee confidencialidad 
en el transporte de datos e protección de la integridad de datos. Durante la negociación, el servidor envía su 
certificado con estructura X.509 para verificar su identidad. 

URL: http://en.wikipedia.org/wiki/LDAP 

92.1.2. Acerca de RSA. 

RSA, acrónimo de los apellidos de sus autores, Ron Rivest, Adi Shamir y Len Adleman, es un algoritmo para el 
ciframiento de claves públicas que fue publicado en 1977, patentado en EE.UU. en 1983 por el Instituto 
Tecnológico de Michigan (MIT). RSA es utilizado ampliamente en todo el mundo para los protocolos destinados 
para el comercio electrónico. 

URL: http://es.wikipedia.org/wiki/RSA 

92.1.3. Acerca de X.509. 

X.509 es un estándar ITU-T (estandarización de Telecomunicaciones de la International Telecommunication 
Union ) para infraestructura de claves públicas (PKI o Public Key Infrastructure). Entre otras cosas, establece 
los estándares para certificados de claves públicas y un algoritmo para validación de ruta de certificación. Este 
último se encarga de verificar que la ruta de un certificado sea válida bajo una infraestructura de clave pública 
determinada. Es decir, desde el certificado inicial, pasando por certificados intermedios, hasta el certificado de 
confianza emitido por una Autoridad Certificadora (CA o Certification Authority). 

URL: http://es.wikipedia.Org/wiki/X.509 

92.1.4. Acerca de OpenSSL. 
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OpenSSL es una implementación libre, de código abierto, de los protocolos SSL (Secure Sockets Layer o Nivel 
de Zócalo Seguro) y TLS (Transport Layer Security o Seguridad para Nivel de Transporte). Está basado sobre 
el extinto proyecto SSLeay, iniciado por Eric Young y Tim Hudson, hasta que éstos comenzaron a trabajar para 
la división de seguridad de EMC Corporation. 

URL: http://www.openssl.org/ 
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93.1. Introducción. 

Por favor, leer el documento titulado «Introducción a OpenLDAP.» 

93.2. Equipamiento lógico necesario. 

• openldap-clients-2.x 

• openldap-servers-2.x 

• authconfig 

• authconfig-gtk (opcional) 

• migrationtools 

Instalación a través de yum. 

Si utiliza CentOS 6 o Red Hat™ Enterprise Linux 6, ejecute lo siguiente para instalar o actualizar, el 
equipamiento lógico necesario: 


yum -y install openldap openldap-clients openldap-servers \ 
nss-pam-ldapd authconfig authconfig-gtk \ 
migrationtools 


Nota. 

Si utiliza CentOS 5 o Red Hat™ Enterprise Linux 5, ejecute lo siguiente para instalar o actualizar el equipamiento 
lógico necesario: 

yum -y install openldap openldap-clients openldap-servers \ 
nss_ldap authconfig authconfig-gtk 

93.3. Procedimientos. 

93.3.1. SELinux y el servicio Idap. 

El servicio slapd funcionará perfectamente con SELinux activo en modo de imposición (enforcing). 
Todo el contenido del directorio /var/lib/ldap debe tener contexto tipo slapd_db_t. 
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chcon -R -t slapd_db_t /var/lib/ldap 

Lo anterior solo será necesario si se restaura un respaldo hecho a partir de un sistema sin SELinux. 

93.3.2. Certificados para TLS/SSL. 

Es muy importante utilizar TLS/SSL cuando se contigura el sistema para fungir como servidor de autenticación, 
por lo cual el siguiente procedimiento es obligatorio. 

Genere el directorio /etc/openldap/cacerts: 

mkdir -p /etc/openldap/cacerts 

Cambie al directorio /etc/openldap/cacerts: 

cd /etc/openldap/cacerts 

OpenLDAP requiere primero genera una nueva autoridad certificadora. Ejecute lo siguiente: 
echo "01" > ca.srl 

openssl genrsa -aesl28 2048 > cacert.key 

openssl req -utf8 -new -key cacert.key -out cacert.csr 

openssl x509 -req -in cacert.csr -out cacert.pem \ 

-signkey cacert.key -days 3650 

De este juego de archivos se debe compartir cacert.pem con todos los clientes LDAP que se conectarán al 
servidor. Copie este archivo dentro del directorio raíz del servidor HTTP o FTP y configure los permisos de 
acceso para que sea accesible desde estos servicios. 

cp cacert.pem /var/www/html/ 
chmod 644 /var/www/html/cacert.pem 

A continuación genere el certificado y firma digital para el servidor. Cabe senalar que la forma digital que será 
utilizada por OpenLDAP será una tipo RSA sin contrasena en formato PEM generada a partir de una firma 
digital con contrasena. Ejecute lo siguiente: 

openssl genrsa -aesl28 2048 > key.pem 

openssl req -utf8 -new -key key.pem -out slapd.csr 

openssl x509 -req -in slapd.csr -out cert.pem \ 

-CA cacert.pem -CAkey cacert.key -days 3650 

openssl rsa -in key.pem -out key.pem 

Configure todos los permisos necesarios para que sólo root y el grupo Idap puedan hacer uso de los certificados 
y firma digital. Ejecute lo siguiente 

cacertdir_rehash /etc/openldap/cacerts 
Genere los enlaces necesarios para el directorio /etc/openldap/cacerts: 
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chown -R rootildap /etc/openldap/cacerts 
chmod -R u=rwX,g=rX,o= /etc/openldap/cacerts 


Edite el archivo /etc/sysconfig/ldap: 

vi /etc/sysconfig/ldap 

Alrededor de la línea 20, localice #SLAPD_LDAPS=no: 

#SLAPD_LDAPS=no 

Elimine la almohadilla (#) y cambie no por yes, de modo que quede como SLAPD_LDAPS=yes. 

SLAPD_LDAPS=yes 

93.3.3. Creación de directorios. 

Con fines de organización se creará un directorio específico para este directorio y se configurará con permisos 
de acceso exclusivamente al usuario y grupo Idap. 

mkdir /var/lib/ldap/autenticar 
chmod 700 /var/lib/ldap/autenticar 

Se requiere copiar el archivo DB CONFIG.example dentro del directorio /var/lib/ldap/autenticar/, como el 
archivo DB_CONFIG. Es decir, ejecute lo siguiente: 

cp /usr/share/openldap-servers/DB_CONFIG.example \ 

/var/lib/ldap/autenticar/DB_CONFIG 


m 


Nota. 


Si utiliza CentOS 5 o Red Hat Enterprise Linux 5, ejecute lo siguiente: 


cp /etc/openldap/DB_CONFIG.example \ 

/var/lib/ldap/autenticar/DB_CONFIG 


Todo el contenido del directorio /var/lib/ldap/autenticar debe pertenecer al usuario y grupo Idap. Ejecute lo 
siguiente: 


chown -R ldap:ldap /var/lib/ldap/autenticar 


93.3.4. Creación de claves de acceso para LDAP. 

Para crear la clave de acceso que se asignará en LDAP para el usuario administrador del directorio, ejecute lo 
siguiente: 

slappasswd 

Lo anterior debe devolver como salida un criptograma, similar al mostrado a continuación: 
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{SSHA}LnmZLFeEl/zebp7AyEF09NlGaTld4ckz 


Copie y respalde este criptograma. El texto de la salida será utilizado más adelante en el archivo 
/etc/openldap/slapd.conf y se definirá como clave de acceso para el usuario Manager, quien tendrá todos los 
privilegios sobre el directorio. 

93.3.5. Archivo de configuración /etc/openldap/slapd.conf. 

Se debe crear /etc/openldap/slapd.conf como archivo nuevo: 


touch /etc/openldap/slapd.conf 
vim /etc/openldap/slapd.conf 


Nota. 

Si utiliza CentOS 5 o Red Hat Enterprise Linux 5, el archivo /etc/openldap/slapd.conf ya existe, e incluye contenido 
de ejemplo. Puede reemplazar todo el contenido en su totalidad, por el ejemplificado a continuación. 

El archivo /etc/openldap/slapd.conf debe de tener definidos todos los archivos de esquema mínimos 
requeridos. De tal modo, el inicio del archivo debe contener algo similar a lo siguiente: 


include 

include 

include 

include 

include 

include 

include 

include 

include 

include 

include 

include 

include 


/etc/openldap/schema/corba.schema 
/etc/openldap/schema/core.schema 
/etc/openldap/schema/cosine.schema 
/etc/openldap/schema/duaconf.schema 
/etc/openldap/schema/dyngroup.schema 
/etc/openldap/schema/inetorgperson.schema 
/etc/openldap/schema/java.schema 
/etc/openldap/schema/misc.schema 
/etc/openldap/schema/nis.schema 
/etc/openldap/schema/openldap.schema 
/etc/openldap/schema/ppolicy.schema 
/etc/openldap/schema/collective.schema 
/etc/openldap/schema/pmi.schema 


Se deben habilitar las opciones TLSCACertificateFile, TLSCertificateFile y TLSCertificateKeyFile 

estableciendo como valores de éstas las rutas hacia el certificados y firma digital. 


TLSCACertificateFile /etc/openldap/cacerts/cacert.pem 
TLSCertificateFile /etc/openldap/cacerts/cert.pem 
TLSCertificateKeyFile /etc/openldap/cacerts/key.pem 


Afin de permitir conexiones desde clientes con OpenLDAP 2.x, establecer el archivo de número de proceso y el 
archivo de argumentos de LDAP, deben estar presentes las siguientes opciones, con los correspondientes 
valores: 


allow bind_v2 

pidfile /var/run/openldap/slapd.pid 

argsfile /var/run/openldap/slapd.args 


Para concluir con el /etc/openldap/slapd.conf, se anade lo siguiente, que tiene como finalidad el definir la 
configuración del nuevo directorio que en adelante se utilizará para autenticar a toda la red de área local: 


831 







Joel Barrios Duenas 


Configuración de Servidores con GNU/Linux 


database 

suffix 

rootdn 

rootpw 

directory 


bdb 

"dc=dominio,dc=tld" 

"cn=Manager, dc=dominio,dc=tld" 

{SSHA}LnmZLFeEl/zebp7AyEF09NlGaTld4ckz 

/var/íib/ldap/autenticar 


# Indices a mantener para esta base de datos 
index objectClass eq,pres 

index ou,cn,mail,surname,givenname eq,pres,sub 

index uidNumber,gidNumber,loginShell eq,pres 

index uid,memberUid eq,pres,sub 

index nisMapName,nisMapEntry eq,pres,sub 


En resumen, el archivo /etc/openldap/slapd.conf debiera quedar de modo similar al siguiente: 


include 

include 

include 

include 

include 

include 

include 

include 

include 

include 

include 

include 

include 


/etc/openldap/schema/corba.schema 
/etc/openldap/schema/core.schema 
/etc/openldap/schema/cosine.schema 
/etc/openldap/schema/duaconf.schema 
/etc/openldap/schema/dyngroup.schema 
/etc/openldap/schema/inetorgperson.schema 
/etc/openldap/schema/java.schema 
/etc/openldap/schema/misc.schema 
/etc/openldap/schema/nis.schema 
/etc/openldap/schema/openldap.schema 
/etc/openldap/schema/ppolicy.schema 
/etc/openldap/schema/collective.schema 
/etc/openldap/schema/pmi.schema 


TLSCACertificateFile /etc/openldap/cacerts/cacert.pem 
TLSCertificateFile /etc/openldap/cacerts/cert.pem 
TLSCertificateKeyFile /etc/openldap/cacerts/key.pem 


allow bind_v2 

pidfile /var/run/openldap/slapd.pid 

argsfile /var/run/openldap/slapd.args 


database 

suffix 

rootdn 

rootpw 

directory 


bdb 

"dc=dominio,dc=tld" 

"cn=Manager, dc=dominio, dc=tld" 

{SSHA}LnmZLFeEl/zebp7AyEF09NlGaTld4ckz 

/var/lib/ldap/autenticar 


# Indices a mantener para esta base de datos 
index objectClass eq,pres 

index ou,cn,mail,surname,givenname eq,pres,sub 

index uidNumber,gidNumber,loginShell eq,pres 

index uid,memberUid eq,pres,sub 

index nisMapName,nisMapEntry eq,pres,sub 


Por seguridad, el archivo /etc/openldap/slapd.conf deberá tener permisos de lectura y escritura, sólo para el 
usuario Idap. 

chown ldap:ldap /etc/openldap/slapd.conf 
chmod 600 /etc/openldap/slapd.conf 


Nota. 

Si utiliza CentOS 5 o Red Hat Enterprise Linux 5 o bien versiones de openldap anteriores a la 2.4, omita los siguientes 
tres pasos. 

Elimine el conjunto de archivos y directorios que componen los configuración predeterminada: 

rm -rf /etc/openldap/slapd.d/* 
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Es necesario crear los archivos base para el contenido del directorio /var/lib/ldap/autenticar, por tanto ejecute 
lo siguiente: 


echo "" | slapadd -f /etc/openldap/slapd.conf 


Convierta el archivo /etc/openldap/slapd.conf en el nuevo subconjunto de archivos Idif que irán dentro del 
directorio /etc/ldap/slapd.d: 


slaptest -f \ 

/etc/openldap/slapd.conf -F \ 
/etc/openldap/slapd.d 


Todo el contenido de los directorios /etc/ldap/slapd.d y /var/lib/ldap/autenticar deben pertenecer al usuario y 
grupo Idap. Ejecute lo siguiente: 


chown -R ldap:ldap \ 

/etc/openldap/slapd.d \ 
/var/lib/ldap/autenticar 


Restablezca los contextos de SELinux para los directorios /etc/ldap/slapd.d y /var/lib/ldap/autenticar 
ejecutando lo siguiente: 


restorecon -R \ 

/etc/openldap/slapd.d \ 
/var/lib/ldap/autenticar 


93.3.6. Inicio del servicio. 

Inicie el servicio slapd y anada éste al resto de los servicios que arrancan junto con el sistema, ejecutando los 
siguientes dos mandatos: 


service slapd start 
chkconfig slapd on 


m 


Nota. 


Si utiliza CentOS 5 o Red Hat Enterprise Linux 5, inicie el servicio slapd y aríada éste al resto de los servicios que 
arrancan junto con el sistema: 


service ldap start 
chkconfig ldap on 


93.3.7. Migración de cuentas existentes en el sistema. 

Edite el archivo /usr/share/migrationtools/migrate_common.ph: 

vim /usr/share/migrationtools/migrate_common.ph 
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Nota. 

Si utiliza CentOS 5 o Red Hat Enterprise Linux 5, edite el archivo 
/usr/share/openldap/migration/migrate common.ph: 


vim /usr/share/openldap/migration/migrate_common.ph 


Modifique los los valores de las variables $DEFAULT_MAIL_DOMAIN y $default_base a fin de que queden del 
siguiente modo: 


# Default DNS domain 
$DEFAULT_MAIL_DOMAIN = "dominio.tld" ; 

# Default base 

$DEFAULT_BASE = "dc=dominio,dc=tld" ; 


A continuación, hay que crear el objeto que a su vez contendrá el resto de los datos en el directorio, utilizando 
migrate_base.pl para generar el archivo base.ldif. 


Genere el archivo base.ldif, ejecutando lo siguiente: 


/usr/share/migrationtools/migrate„base.pl > base.ldif 


Nota. 

Si utiliza CentOS 5 o Red Hat Enterprise Linux 5, puede generar el archivo base.ldif ejecutando lo siguiente: 


/usr/share/openldap/migration/migrate_base.pl > base.ldif 


Utilice el mandato Idapadd para insertar los datos necesarios. Las opciones utilizadas con este mandato son 
las siguientes: 


-x autenticación simple 

-W solicitar clave de acceso 

-D binddn Nombre Distinguido (dn) a utilizar 

-h anfitrión Servidor LDAP a acceder 

-f archivo archivo a utilizar 


Una vez entendido lo anterior, se procede a insertar la información generada en el directorio utilizando lo 
siguiente: 


ldapadd -x -W -D 'cn=Manager, dc=dominio,dc=tld ' \ 
-h 127.0.0.1 -f base.ldif 


Una vez hecho lo anterior, se podrá comenzar a poblar el directorio con datos. Lo primero será importar los 
grupos y usuarios existentes en el sistema. Realice la importación de usuarios creando los archivos group.ldif 

y passvvd.ldif, utilizando migrate_group.pl y migrate passwd.pl. 


Ejecute los siguientes dos mandatos: 


/usr/share/migrationtools/migrate_group.pl \ 
/etc/group group.ldif 

/usr/share/migrationtools/migrate_passwd.pl \ 
/etc/passwd passwd.ldif 
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Nota. 

Si utiliza CentOS 5 o Red Hat Enterprise Linux 5, ejecute los siguientes dos mandatos: 


/usr/share/openldap/migration/migrate_group.pl \ 
/etc/group group.ldif 

/usr/share/openldap/migration/migrate_passwd.pl \ 
/etc/passwd passwd.ldif 


Lo anterior creará los archivos group.ldif y passvvd.ldif, los cuales incluirán la información de los grupos y 
cuentas en el sistema, incluyendo las claves de acceso. Los datos se podrán insertar en el directorio LDAP 
utilizando lo siguiente: 


ldapadd -x -W -D 'cn=Manager, dc=dominio,dc=tld ' \ 
-h 127.0.0.1 -f group.ldif 
ldapadd -x -W -D 'cn=Manager, dc=dominio,dc=tld ' \ 
-h 127.0.0.1 -f passwd.ldif 


93.4. Comprobaciones. 

Antes de configurar el sistema para utilizar LDAP para autenticar, es conveniente verificar que todo funciona 
correctamente. 


El siguiente mandato verifica que directorios disponibles existen en el servidor 127.0.0.1. 

ldapsearch -h 127.0.0.1 -x -b 11 -s base \ 

'(objectclass=*)' namingContexts 


Lo anterior debe devolver una salida similar a lo siguiente: 


# extended LDIF 

# 

# LDAPV3 

# base <> with scope base 

# filter: (objectclass=*) 

# requesting: namingContexts 

# 

# 

dn: 

namingContexts: dc=dominio,dc=tld 

# search result 
search: 2 
result: 0 Success 

# numResponses: 2 

# numEntries: 1 


El siguiente mandato debe devolver toda la información de todo el directorio solicitado (dc=dominio,dc=tld). 


ldapsearch -x -b ' dc=dominio,dc=tld ' '(objectclass=*)' 


Otro ejemplo es realizar una búsqueda específica, para un usuario en particular. Asumiendo que en el directorio 
existe el usuario denominado fulano, ejecute lo siguiente: 
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ldapsearch -x -b 'uid=fulano,ou=People, dc=dominio,dc=tld ' 


Lo anterior debe regresar algo similar a lo siguiente: 


# extended LDIF 

# 

# LDAPV3 

# base uid=fulano,ou=People,dc=dominio,dc=tld with scope sub 

# filter: (objectclass=*) 

# requesting: ALL 

# 

# fulano, People, dominio.tld 

dn: uid=fulano,ou=People,dc=dominio,dc=tld 
uid: fulano 
cn: fulano 

objectClass: account 
objectClass: posixAccount 
objectClass: top 
objectClass: shadowAccount 
userPassword:: xxxxxxxxxxxx 
shadowLastChange: 12594 
shadowMax: 99999 
shadowWarning: 7 
loginShell: /bin/bash 
uidNumber: 505 
gidNumber: 505 
homeDirectory: /home/fulano 

# search result 
search: 2 
result: 0 Success 

# numResponses: 2 

# numEntries: 1 


93.5. Configuración de clientes. 

Los clientes CentOS 6 y Red Hat Enterprise Linux 6, requieren tener instalados los paquetes nss-pam-ldap, 
authconfig y openldap-clients-2.4.23-16.el6 (las versiones anteriores de este último tienen roto el soporte para 
TLS/SSL): 

yum -y install authconfig openldap-clients nss-pam-ldapd 


Nota. 

Los clientes CentOS 5 y Red Hat Enterprise Linux 5 requieren tener instalados los paquetes nssjdap, authconfig y 
openldap-clients: 


yum -y install authconfig openldap-clients nss_ldap 


Defina los valores para las opciones host y base, a fin de establecer hacia que servidor y a que directorio 
conectarse, en el archivo /etc/pamjdap.conf. 


vim /etc/pam_ldap.conf 
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m 


Nota. 


Si utiliza CentOS 5 o Red Hat™ Enterprise Linux 5, defina lo anterior en ei archivo /etc/ldap.conf. 


vim /etc/ldap.conf 


Para fines prácticos, el valor de la opción uri corresponde al nombre del servidor LDAP, previamente resuelto 
por un DNS y el valor de la opción base debe ser el mismo que se especificó en el archivo 
/etc/openldap/slapd.conf para la opción suffix. Considerando que el nombre de anfitrión del servidor LDAP 
está resuelto por un servidor DNS, como servidor.dominio.tld, puede definir lo siguiente: 


uri ldap: //servidor.dominio.tld/ 
base dc=dominio,dc=tld 

ssl start_tls 
tls_checkpeer no 
pam_password md5 


Asumiendo que el servidor LDAP tiene definido como nombre de anfitrión servidor.dominio.tld, previamente 
resuelto en un servidor DNS, ejecute lo siguiente: 


authconfig --useshadow --passalgo=sha512 --enablelocauthorize \ 
--enablemkhomedir --enableldap --enableldapauth \ 

- -ldapserver=servidor .dominio.tld \ 

- -ldapbasedn=dc=dominio, dc=tld --enableldaptls \ 

- -ldaploadcacert=http ://servidor. red-local.net/cacert .pem \ 

--update 


Al terminar, debe iniciar y agregar a los servicios de arranque del sistema al servicio nslcd. 


chkconfig nslcd on 
service nslcd start 


93.6. Administración. 


Existen muchos programas para acceder y administrar servidores LDAP, pero la mayoría sólo sirven para 
administrar usuarios y grupos del sistema, como el módulo de LDAP de Webmin. La herramienta de 
administración de directorios LDAP más sencilla de utilizar pudiera ser PHP LDAP Admin. 

93.7. Respaldo de datos. 

El procedimiento requiere detener el servicio slapd. 


service slapd stop 


m 


Nota. 


Si utiliza CentOS 5 o Red Hat Enterprise Linux 5, debe detenerse el servicio Idap antes de proceder con el respaldo de 
datos. 


service ldap stop 

Utilice el mandato slapcat del siguiente modo, definiendo el directorio de configuración /etc/openldap/slapd.d. 


837 







Joel Barrios Duenas 


Configuración de Servidores con GNU/Linux 


slapcat -v -F /etc/openldap/slapd.d \ 
-1 respaldo-$(date +%Y%m%d).ldif 


m 


Nota. 


Si utiliza CentOS 5 o Red Hat Enterprise Linux 5, se utiliza la herramienta slapcat, definiendo el archivo de 
configuración /etc/openldap/slapd.conf. 


slapcat -v -f /etc/openldap/slapd.conf \ 
-1 respaldo-$(date +%Y%m%d).ldif 

Inicie de nuevo el servicio slapd. 

service slapd start 


Nota. 

Si utiliza CentOS 5 o Red Hat Enterprise Linux 5, inicie de nuevo el servicio Idap. 


service ldap start 


93.8. Restauración de datos. 

El procedimiento requiere detener el servicio. Ejecute lo siguiente: 


service slapd stop 


Nota. 

Si utiliza CentOS 5 o Red Hat Enterprise Linux 5, ejecute lo siguiente: 


service ldap stop 


Deben eliminarse los datos del directorio a restaurar. 

rm -f /var/lib/ldap/autenticar/* 


Vuelva a copiar el archivo DB_CONFIG.example dentro del directorio /var/lib/ldap/autenticar/, como el 
archivo DB„CONFIG. Es decir, ejecute lo siguiente: 

cp /usr/share/openldap-servers/DB_CONFIG.example \ 

/var/lib/ldap/autenticar/DB_CONFIG 


Utilice la herramienta slapadd para cargar los datos del respaldo desde un archivo *.ldif. 


slapadd -v -c \ 

-1 respaldo-20110911.ldif \ 
-F /etc/openldap/slapd.d 
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Nota. 

Si utiliza CentOS 5 o Red Hat Enterprise Linux 5, slapadd se utiliza definiendo el archivo de configuración 

/etc/openldap/slapd.conf. 


slapadd -v -c \ 

-1 respaldo-20110911.ldif \ 
-f /etc/openldap/slapd.conf 


Para regenerar los índices LDAP, ejecute el mandato slapindex: 

slapindex 

Inicie de nuevo el servicio, ejecutando lo siguiente: 


service slapd start 


Nota. 

Si utiliza CentOS 5 o Red Hat Enterprise Linux 5, ejecute lo siguiente: 


service ldap start 


93.9. Modificaciones necesarias en el muro cortafuegos. 

Es necesario abrir los puertos 389/TCP (Idap) y 636/TCP (Idaps). 

93.9.1. Servicio iptables. 

Ejecute lo siguiente para anexar las reglas de iptables correspondientes: 


iptables -A INPUT -m state \ 
--state NEW -m tcp -p tcp \ 
--dport 389 -j ACCEPT 
iptables -A INPUT -m state \ 
--state NEW -m tcp -p tcp \ 
--dport 636 -j ACCEPT 


Ejecute lo siguiente para guardar los cambios: 


service iptables save 


O bien aiìada lo siguiente al archivo /etc/sysconfig/iptables: 


-A 

INPUT 

-m state 

--state 

NEW 

-m tcp 

-P 

tcp 

- -dport 

389 

-j ACCEPT 

-A 

INPUT 

-m state 

--state 

NEW 

-m tcp 

-P 

tcp 

- -dport 

636 

-j ACCEPT 


Y reinicie el servicio iptables: 


service iptables restart 


839 








Joel Barrios Duenas 


Configuración de Servidores con GNU/Linux 


93.9.2. Shorewall. 

Si utiliza Shorewall, edite el archivo /etc/shorewall/rules: 


vim /etc/shorewall/rules 


Las reglas corresponderían a algo similar a lo siguiente: 


#ACTION SOURCE DEST PROTO DEST SOURCE 

# PORT PORT(S)1 

ACCEPT net fW tcp 389,636 

#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE 


Al terminar de configurar las reglas para Shorewall, reinicie el muro cortafuegos, ejecutando el siguiente 
mandato: 


service shorewall restart 
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Alguna de estas condiciones puede no aplicarse si se obtiene el permiso del titular de los derechos de autor. Los derechos derivados de usos legítimos u otras 
limitaciones no se ven afectados por lo anterior. La información contenida en este documento y los derivados de éste se proporcionan tal cual son y los autores no 
asumirán responsabilidad alguna si el usuario o lector hace mal uso de éstos.. 


94.1. Introducción. 

94.1.1. Acerca de MySQL™. 

MySQL™ es un DBMS (DataBase Management System) o sistema de gestión de base de datos SQL 
(Structured Query Language o Lenguaje Estructurado de Consulta) multiusuario y multihilo con licencia 
GNU/GPL. Fue propiedad y patrocinio de MySQL AB, compaíïía fundada por David Axmark, Allan Larsson y 
Michael Widenius, con base de operaciones en Suecia, la cual poseía los derechos de autor de prácticamente 
todo el código que lo integraba. MySQL AB desarrolló y se encargó del mantenimiento de MySQL vendiendo 
servicios de soporte y otros valores agregados, así como también licenciamiento privativos para los desarrollos 
de equipamiento lógico que requieren mantener cerrado su código fuente. MySQL™ AB fue adquirido en 2008 
por Sun Microsystems, que a su vez fue adquirido por Oracle Corporation en 2009. 

MySQL™ es actualmente el servidor de base de datos más popular para los desarrollos a través de la red 
mundial, principalmente sitios de Internet. Es célebre y casi legendario, por considerarse rápido y sólido. 

URL: http://www.mysql.com/ 

94.1.2. Acerca de MariDB™. 

MariaDB™ es un proyecto derivado de MySQL™ con licencia GNU/GPLv2, desarrollado por Michael Widenius 
y una comunidad de desarrolladores de software libre. Se diferencia de MySQL™ en que incluye dos nuevos 
motores de almacenamiento: Aria —que reemplazo para MylSAM— y XtraDB —reemplazo para InnoDB. es 
completamente compatible con MySQL™ gracias a que utiliza las mismas órdenes, interfaces, APIs y 
bibliotecas, siendo su objetivo poder reemplazar de manera transparente a MySQL. 

MySQL™ será reemplazado de forma transparente por MariaDB™ —una bifurcación de MySQL dirigida por 
Michael Widenius— en la mayoría de los distribuciones de GNU/Linux como medida para hacer frente a la mala 
gestión que ha realizado Oracle sobre el proyecto MySQL™. 

94.2. Equipamiento lógico necesario. 

94.2.1. En CentOS 5 y 6 y Red Hat™ Enterprise Linux 5 y 6. 

Ejecute lo siguiente para instalar los paquetes mysql (cliente) y mysql-server (servidor): 


yum -y install mysql mysql-server 


94.2.2. En ALDOS, CentOS 7, Fedora™ y Red Hat™ Enterprise Linux 7. 
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Ejecute lo siguiente para instalar los paquetes mysql (cliente) y mysql-server (servidor): 
yum -y install mariadb mariadb-server 

94.2.3. En SUSE™ Linux Enterprise. 

Ejecute lo siguiente para instalar los paquetes mysql-client (cliente) y mysql (servidor): 
yast -i mysql mysql-client 

94.3. Modificaciones necesarias en el muro cortafuegos. 

Es necesario abrir el puerto 3306 por TCP (mysql), pero sólo si requiere hacer conexiones desde anfitriones 
remotos. 

94.3.1. En ALDOS, CentOS y Red Hat™ EnterpriseLinux. 

94.3.1.1. Herramienta system-config-firewall. 

Ejecute lo siguiente si utiliza el muro cortafuegos predeterminado del sistema: 
system-config-firewall 

Habilite el puertos 3306/TCP y aplique los cambios. 



Herramienta system-config-firewall habilitando el puerto 3306/TCP para MySQL. 

94.3.1.2. Servicio iptables. 

Ejecute lo siguiente: 
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iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -j ACCEPT 
Ejecute lo siguiente para guardar los cambios. 
service iptables save 

O bien aíïada lo siguiente al archivo /etc/sysconfig/iptables: 

-A INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -j ACCEPT 
Reinicie el servicio para aplicar los cambios: 
service iptables restart 

94.3.1.3. Shorevvall. 

La regla para el archivo /etc/shorewall/rules de Shorewall correspondería a lo siguiente: 

#ACTI0N SOURCE DEST PROTO DEST SOURCE # PORT P0RT(S)1 
ACCEPT all fw tcp 3306 

Ejecute lo siguiente para aplicar los cambios: 

service shorewall restart 

94.3.1.4. Firevvalld. 

Ejecute lo siguiente para aíìadir de manera permanente la regla correspondiente: 

firewall-cmd --permanent --zone=home --add-port=3306/tcp 
Reinicie el servicio para aplicar los cambios: 
systemctl restart firewalld 

94.3.2. En SUSE™ Linux Enterprise. 

Ejecute yast usando firewall como argumento: 
yast firewall 

Habilite MySQL Servery aplique los cambios. Ésto abrirátodos los puertos necesarios. 
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Módulo de cortafuegos de YaST, en modo texto, habilitando MySQL Server. 


94.4. SELinux y MySQL™ en ALDOS, CentOS y Red Hat™ Enterprise 
Linux. 


Ejecute lo siguiente para que SELinux permita al usuario regular establecer conexiones hacia el zócalo de 
MySQL™: 
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setsebool -P allow_user_mysql_connect 1 


Ejecute lo siguiente para que SELinux permita al servicio conectarse a cualquier puerto distinto al 3306: 
setsebool -P mysql_connect_any 1 


94.4.1. Servicio mysqld con MariaDB™. 

Si utiliza CentOS 6 o Red Hat™ Enteroprise Linux 6 con los paquetes de MariaDB™ deAlcanceLibre.org que 
reemplazan a MySQL™, éste utiliza un enlace simbólico en /var/log/mysqld.log que apunta hacia 
/var/log/mariadb/mariadb.log para reemplazar antiguo archivo de registro que utilizaba MySQL y así hacer 
transparente la migración. Se debe crear una política para permitir al servicio mysqld de MariaDB™ utilizar 
este enlace simbólico. 

Genere un nuevo directorio denominado /usr/share/selinux/packages/mariadb: 


mkdir -p /usr/share/selinux/packages/mariadb 


Cambie al directorio /usr/share/selinux/packages/mariadb: 


cd /usr/share/selinux/packages/mariadb 


Descargue el archivo http://www.alcancelibre.org/linux/secrets/mariadb.te: 


wget http://www.alcancelibre.org/linux/secrets/mariadb.te 


Edite el archivo recién descargado: 


vi mariadb.te 


Asegúrese que éste tenga el siguiente contenido: 


module mariadb 1.0; 

require { 

type varlogt; 
type mysqld_safe_t; 
type mysqld_t; 

class lnk_file { read getattr }; 

} 

#============= mysqld_safe_t ============== 

allow mysqld_safe_t varlogt:lnk_file { read getattr }; 

#============= mysqld_t ============== 

allow mysqld_t varlogt:lnk_file read; 


Lo anterior fue obtenido de la salida de cat /var/log/audit/audit.log|grep audit|audit2allow -m 
mariadb>mariadb.te en un sistema donde SELinux impedía a mariadb acceder al enlace simbólico que 
reemplazó al archivo de registro original de MySQL. 


Genere el archivo de módulo para SELinux (mariadb.mod) ejecutando checkmodule del siguiente modo: 
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checkmodule -M -m -o mariadb.mod mariadb.te 
Empaquete el archivo mariadb.mod como el archivo mariadb.pp: 
semodule_package -o mariadb.pp -m mariadb.mod 

Vincule el archivo mariadb.pp obtenido con las políticas actuales de SELinux y cargue éstas en el núcleo en 
ejecución: 

semodule -i /usr/share/selinux/packages/mariadb/mariadb.pp 

Una vez cargadas las nuevas políticas, se pueden eliminar los archivos mariadb.te y mariadb.mod, pues sólo 
será necesario conservar el archivo binario mariadb.pp. 

94.5. Procedimientos. 

94.5.1. Activar, iniciar, detener y reiniciar el servicio mysqld. 

94.5.1.1. En ALDOS, CentOS 5 y 6 y Red Hat™ Enterprise Linux 5 y 6. 

Ejecute lo siguiente para activar el servicio en todos los niveles de ejecución: 
chkconfig mysqld on 

Ejecute lo siguiente para iniciar por primera vez el servicio y generar la base de datos inicial: 
service mysqld start 

Ejecute lo siguiente para reiniciar el servicio: 

service mysqld restart 
Ejecute lo siguiente para detener el servicio: 
service mysqld stop 

94.5.1.2. En CentOS 7 y Red Hat™ Enterprise Linux 7. 

Ejecute lo siguiente para activar el servicio en todos los niveles de ejecución: 
systemctl enable mariadb 

Ejecute lo siguiente para iniciar por primera vez el servicio y generar la base de datos inicial: 

systemctl start mariadb 
Ejecute lo siguiente para reiniciar el servicio: 
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systemctl restart mariadb 


Ejecute lo siguiente para detener el servicio: 


systemctl stop mariadb 


94.5.1.3. SUSE™ Linux Enterprise. 

Ejecute lo siguiente activar el servicio en todos los niveles de ejecución: 
insserv mysql 

Ejecute lo siguiente para iniciar por primera vez el servicio y generar la base de datos inicial: 
rcmysql start 

Ejecute lo siguiente para reiniciar el servicio: 
rcmysql restart 


Ejecute lo siguiente para detener el servicio: 


rcmysql stop 


94.5.2. Archivos y directorios de configuración. 

El archivo /etc/my.cnf es el utilizado para establecer o cambiar opciones permanentes de MySQL. Las bases 
de datos se almacenan dentro del directorio /var/lib/mysql. 

94.5.3. Asignación de contrasena a root en MySQL. 

Root carece de contrasena después de iniciado el servicio por primera vez. Ejecute 
mysqLsecureJnstallation si necesita poner en producción inmediatamente el servidor. Iniciará un asistente 
que le permitirá asignar la contrasena de root, eliminar el usuario anónimo y la base de datos de pruebas (test), 
eliminar accesos remoto y otros ajustes de seguridad importantes. Se le solicitará ingresar una inexistente 
contrasena actual. Sólo pulse la tecla (ENTER) y luego asigne la nueva contrasena. Responda con Y para 
todo lo demás. 


mysqlsecure Jnstallation 


En adelante será necesario anadir la opción -p a cualquier sentencia del intérprete de mandatos para mysql, 
mysqladmin y mysqldump para ingresar la contrasena de root y poder realizar diversas tareas 
administrativas. 

De manera alternativa puede ejecutar mysqladmin con la opción -h con localhost como argumento, la opción 
-u con root y passvvord como argumentos y la nueva contrasena entre comillas simples: 


mysqladmin -u root password 'cualquier-contrasena-que-guste' 


94.5.3.1. Recuperación de la contrasena de root. 
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Siga el siguiente procedimiento en caso de que haya extraviado la contrasena de root de MySQL™. 

Detenga el servicio ejecutando service mysqld stop (ALDOS, CentOS y Red Hat™ Enterprise Linux) o bien 
rcmysql stop (SUSE™ Linux Enterprise). 

Ejecute mysqld^safe con la opción --skip-grant-tables, enviando el proceso a segundo plano: 
mysqldsafe --skip-grant-tables & 

Ingrese al intérprete de mandatos de MySQL™ ejecutando mysql sin argumentos u opciones: 
mysqt 

Ejecute lo siguiente: 

UPDATE mysqt.user 

SET Password=PASSWORD('nueva-contrasena 1 ) 

WHERE User= 1 root’; 

FLUSH PRIVILEGES; 

Salga del intérprete de mandatos de MySQL™ ejecutando lo siguiente: 
exit; 

Detenga el servicio ejecutando mysqladmin con la opción -p y shutdovvn como argumento. Se solicitará se 
ingrese la nueva contrasena asignada. 

mysqladmin -p shutdown 

Inicie MySQL™ ejecutando service mysqld start (ALDOS, CentOS y Red Hat™ Enterprise Linux) o bien 
rcmysql start (SUSE™ Linux Enterprise). 

Verifique el cambio de contrasena ejecutando mysql y la opción -p e ingrese la nueva contrasena. 
mysqt -p 

Salga del intérprete de mandatos de MySQL™ ejecutando lo siguiente: 
exit; 

Procure memorizar la nueva contrasena asignada a root en MySQL. 

94.5.4. Actualizar desde una versión anterior de MySQL™ o MariaDB™. 

Si actualizó desde una versión anterior —como sería el caso de actualizar desde MySQL™ 5.1 hacia 
MariaDB™ 5.5— ejecute lo siguiente: 

mysqlupgrade -uroot -pcontrasena 

94.5.5. Crear y eliminar bases de datos. 
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Para crear una nueva base de datos, ejecute mysqladmin con create como argumento, la opción -u con root 
como usuario y la opción -p para indicar que se ingresará una contrasena: 


mysqladmin -u root -p create basedatos 


Para eliminar una base de datos, ejecute mysqladmin con drop como argumento en lugar de create, la opción 
-u con root como usuario y la opción -p para indicar que se ingresará una contraseíïa: 


mysqladmin -u root -p drop basedatos 


94.5.6. Respaldo y restauración de bases de datos. 

Para respaldar una base de datos desde el anfitrión local, ejecute mysqldump con las opciones -opt (que 
anade automáticamente las opciones -add-drop-table, -add-locks, -create-options, -quick, -extended-insert, 
-lock-tables, -set-charset y -disable-keys), la opción -u con el nombre de usuario a utilizar, la opción -p para 
indicar que se ingresará una contrasena, el nombre de la base de datos, > para guardar la salida estándar 
(STDOUT) en un archivo y el nombre del archivo donde se guardará el respaldo. Ejemplo: 


mysqldump --opt -u root -p basedatos > respaldo.sql 


Para restaurar un respaldo, ejecute mysql con las opciones -u con el nombre de usuario con privilegios sobre 
la base de datos a restaurar, -p para indicar que se utilizará contrasena, el nombre de la base de datos a 
restaurar, < para indicar que la entrada estándar (STDIN) será un archivo y el nombre del archivo con el 
respaldo de la base de datos. Ejemplo: 


mysql -u root -p basedatos < respaldo.sql 


Para respaldar todas la bases de datos hospedadas en MySQL™, ejecute mysqldump con las opciones -opt, 
-all-databases para indicar que se respaldarán todas la bases de datos, la opción -u con root como usuario, la 
opción -p para indicar que se utilizará contrasena, el símbolo > para guardar la salida estándar (STDOUT) en 
un archivo y el nombre del archivo donde se guardará el respaldo. Ejemplo: 


mysqldump --opt --all-databases -u root -p > respaldo-todo.sql 


Para restaurar todas las bases de datos a partir de un único archivo de respaldo, ejecute mysql con la opción 
-u con root como usuario, la opción -p para indicar que se utilizará contrasena, el símbolo < para indicar que la 
entrada estándar (STDIN) será un archivo y el nombre del archivo con el respaldo de todas las bases de datos. 
Ejemplo: 


mysql -u root -p < respaldo-todo.sql 


94.5.7. Permisos de acceso a las bases de datos. 

Ingrese al intérprete de MySQL™ como root: 


mysql -u root -p 


Ejecute lo siguiente para asignar los permisos select (seleccionar), insert (insertar), update (actualizar), create 
(crear), alter (alterar), delete (eliminar) y drop (descartar) sobre las tablas de una base de datos al usuario 
prueba desde el anfitrión local: 
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GRANT 

select, insert, update, create, alter, delete, drop 
ON 

base-de-datos. * 

TO 

usuariotaiocalhost 
IDENTIFIED BY 
1 contrasena'; 


Puede otorgar al usuario todos los permisos sobre la base de datos ejecutando algo similar a lo siguiente: 


GRANT 

all 

ON 

base-de-datos.* 

< TO 

usuario@localhost 
IDENTIFIED BY 
' contrasena 1 ; 

Ejecute algo similar al ejemplo anterior, pero definiendo el usuario y la dirección IP del anfitrión remoto para 
permitir el acceso hacia una base de datos desde un anfitrión remoto. Ejemplo: 

GRANT 

select, insert, update, create, alter, delete, drop 
ON 

directorio. * 

TO 

usua rio@192.168.70.2 
IDENTIFIED BY 
'contrasena'; 


Puede otorgar al usuario todos los permisos sobre la base de datos ejecutando lo siguiente: 


GRANT 

all 

ON 

directorio. * 

TO 

usuario@192.168.70.2 
IDENTIFIED BY 
'contrasena'; 

Ejecute algo similar a lo anterior, pero definiendo el nombre del usuario entre comillas simples, arroba y el 
símbolo % entre comillas simples para permitir el acceso hacia una base de datos desde cualquier anfitrión. 
Ejemplo: 

GRANT 

all 

ON 

directorio. * 

TO 

' usuario'@'%' 

IDENTIFIED BY 

' contrasena-usuario-usuario 1 ; 


94.6. Optimización de MySQL. 


94.6.1. Deshabilitar la resolución de nombres de anfitrión. 
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MySQL mantiene un cache de anfitriones utilizados en la memoria, la cual contiene las direcciones IP, nombres 
de anfitrión y errores de información asociados a éstos. El cache sólo se utiliza para conexiones TCP remotas 
con otros anfitriones y jamás lo utiliza para conexiones a través de la interfaz de retorno del sistema (loopback, 
127.0.0.1) o conexiones hechas através del archivo de zócalo, tubería o bien memoria compartida. 

MySQL™ utiliza la dirección IP del cliente para verificar si el nombre de anfitrión de éste está en el cache de 
anfitriones por cada nueva conexión. Se intentará resolver el nombre de anfitrión cuando el nombre es 
inexistente, resolviendo primero la dirección IP, luego resolviendo el nombre, comparando el resultado de la 
dirección IP original para verificar que correspondan. Luego esta información es almacenada en el cache de 
anfitriones. 

El objetivo del cache es evitar hacer nuevamente una consulta de DNS por cada conexión de cliente y evitar el 
almacenamiento de información de errores que ocurren en el proceso de conexión de los clientes. Cuando 
ocurren demasiados errores desde un anfitrión en particular y se rebasa el valor de la variable 
max_connect_errors (10, de modo predeterminado), se bloquea el acceso desde dicho anfitrión. 

Cuando un anfitrión es bloqueado, éste sólo podrá acceder de nuevo si se reinicia el servicio o si se limpia 
manualmente el cache de anfitriones. Ésto último se realiza ejecutando lo siguiente desde el intérprete de 
mandatos del sistema: 


mysqladmin -p flush-hosts 


Cuando se tiene un DNS muy lento, se carece de uno que resuelva los nombres de los anfitriones o bien se 
tiene demasiados anfitriones haciendo conexiones hacia el servidor, deshabilitar el cache de anfitriones o 
hacerlo más grande mejora el rendimiento considerablemente. La consecuencia de deshabilitar el cache de 
anfitriones es que en adelante sólo se podrán otorgar permisos de acceso y realizar conexiones utilizando 
direcciones IP, es decir utilizando usuario@a.b.c.d en lugar de usuario@anfitrión.dominio.tld. 

Para deshabilitar el cache de anfitriones se requiere editar el archivo /etc/my.cnf: 


vi /etc/my.cnf 


Y anadir la siguiente opción en la sección [mysqld]: 


skip-name-resolve 


Guarde el archivo, salga del editor del texto y reinicie el servicio para aplicar los cambios. 

Si se desea hacer más grande el cache de anfitriones —cuyo valor predeterminado es 128 anfitriones— de 
debe cambiar el valor de HOST_CACHE_SIZE por cualquier valor entre 0 y 2048 y compilr MySQL™ desde 
código fuente —motivo por el cual es más práctico deshabilitar el cache de anfitriones. 

94.6.2. Aumentar el tamano de cache de consultas. 

Cuando se habilita el cache de consultas en memoria y se dispone de suficiente de ésta, el desempeno del 
servidor se incrementa considerablemente. El valor predeterminado del tamano cache de consultas — 
query_cache_size— es 0, es decir está desactivado. Los valores permitidos son enteros múltiplos de 1024 
(bytes). Para establecer un tamano de cache de consultas de 32 MiB, el valor correspondiente para 

query cache_size sería 33882112 bytes. 

Ingrese al intérprete de MySQL™ como root: 


mysql -u root -p 
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Verifique el valor de la variable query_cache_size ejecutando lo siguiente: 


SH0W VARIABLES LIKE 1 %query_cache%’; 


La salida será similar a la siguiente: 


+ 


- + 


- + 

1 

Variable name 

1 

Value 

1 

+ 


- + 


- + 

1 

have query cache 

1 

YES 

1 

1 

query cache limit 

1 

1048576 

1 


query cache min res unit 

1 

4096 


1 

query cache size 

1 

0 

1 


query cache type 

1 

ON 


1 

query cache wlock invalidate 

1 

OFF 

1 

+ 


- + 


- + 

6 

rows in set (0.00 sec)/pre> 





Ejecute lo siguiente para cambiar el valor de query_cache_size a 32 MiB: 


SET GLOBAL querycachesize = 33882112; 


Verifique el cambio ejecutando lo siguiente: 


SH0W VARIABLES LIKE '%query_cache%'; 


La salida será similar a la siguiente: 


+ 


- + 


- + 

1 

Variable name 

1 

Value 

1 

+ 


- + 


- + 

1 

have query cache 

1 

YES 

1 


query cache limit 

1 

1048576 

1 


query cache min res unit 


4096 



query cache size 

1 

33882112 

1 

1 

query cache type 


ON 

1 

1 

query cache wlock invalidate 

1 

OFF 

1 

+ 


- + 


- + 

6 

rows in set (0.00 sec) 





Salga del intérprete de MySQL. 


exit; 


El cambio prevalecerá hasta que sea reiniciado MySQL. Edite el archivo /etc/my.cnf para que el cambio sea 
permanente: 


vi /etc/my.cnf 


Anada la siguiente opción en la sección [mysqld]: 


query_cache_size = 32M 


Reinicie el servicio para aplicar los cambios: 
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service mysqld restart 

Ingrese al intérprete de mandatos de MySQL™ para verificar el estado del cache de consultas: 
mysql -u root -p 

Realice algunas consultas al azar hacia cualquier base de datos MySQL™ hospedada en el servidor a fin de 
generar algo de actividad. Sólo la primera consulta será un considerablemente más lenta que las subsecuentes. 
El resto de las consultas deberán ser considerablemente más rápidas. 

Vuelva a ingresar al intérprete de mandatos de MySQL™ para verificar el estado del cache de consultas: 
mysql -u root -p 

Ejecute lo siguiente desde el intérprete de mandatos de MySQL™: 

SH0W STATUS LIKE '%Qcache%'; 


La salida puede ser similar a la siguiente: 


Variable_name 

- + 

1 

Value 

Qcache free blocks 

1 

1 

Qcache free memory 


33864568 

Qcache hits 

1 

0 

Qcache inserts 


0 

Qcache lowmem prunes 

1 

0 

Qcache not cached 


61 

Qcache queries in cache 

1 

0 

Qcache_total_blocks 

1 

- + 

1 


8 rows in set (0.00 sec) 


94.6.3. Soporte para UTF-8. 

Algunas aplicaciones como vTigerCRM requieren se que configuré UTF-8 como codificación predeterminada. 
Edite el archivo /etc/my.cnf: 

vi /etc/my.cnf 

Ahada las siguientes líneas resaltadas: 
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[mysql] 

default-character-set=utf8 

[mysqld] 

datadir=/var/lib/mysql 
socket=/var/lib/mysql/mysql.sock 
user=mysql 

# Disabling symbolic-links is recommended to prevent assorted security risks 
symbolic-links=0 

skip-name-resolve 
query_cache_size = 32M 
collation_server=utf8_unicode_ci 
character-set-server=utf8 

init_connect='SET collation_connection = utf8_general_ci' 
init_connect='SET NAMES utf8' 

[mysqldsafe] 

log-e rro r=/va r/log/ma riadb/ma riadb.log 
pid-file=/va r/run/ma riadb/ma riadb.pid 

# 

# include all files from the config directory 

# 

lincludedir /etc/my.cnf.d 


Guarde los cambios y salida del editor de texto. Reinicie el servicio para que surtan efecto los cambios. 
Ejecute lo siguiente si utiliza ALDOS, CentOS o Red Hat™ Enterprise Linux: 
service mysqld restart 

Ejecute lo siguiente si utiliza SUSE™ Linux Enterprise: 

rcmysqld restart 

94.7. Bibliografía. 

• http://dev.mysql.eom/doc/refman/5.0/en/host-cache.html 
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© 1999-2016 Joel Barrios Duenas. Usted es libre de copiar, distribuir y comunicar públicamente la obra y hacer obras derivadas bajo las condiciones siguientes: a) 
Debe reconocer y citar al autor original. b) No puede utilizar esta obra para fines comerciales. c) Si altera o transforma esta obra o genera una obra derivada, sólo 
puede distribuir la obra generada bajo una licencia idéntica a ésta. Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. 
Alguna de estas condiciones puede no aplicarse si se obtiene el permiso del titular de los derechos de autor. Los derechos derivados de usos legítimos u otras 
limitaciones no se ven afectados por lo anterior. La información contenida en este documento y los derivados de éste se proporcionan tal cual son y los autores no 
asumirán responsabilidad alguna si el usuario o lector hace mal uso de éstos. 


95.1. Introducción. 

95.1.1. Acerca del protocolo HTTP. 

HTTP ( Hypertext Transfer Protocol o Protocolo de Trasferencia de Hipertexto) es el método utilizado para 
transferir o transportar información a través de Internet y (WWW, World Wide Web). Su propósito original fue el 
proveer una forma de publicar y recuperar documentos en formato HTML. 

El desarrollo del protocolo fue coordinado por World Wide Web Consortium y la IETF ( Internet Engineering 
Task Force o Fuerza de Trabajo en Ingeniería de Internet), culminando con la publicación de varios RFC 
(Request For Comments), de entre los que destaca el RFC 2616, mismo que define la versión 1.1 del protocolo, 
que es el utilizado hoy en día. 

HTTP es un protocolo de solicitud y respuesta a través de TCP, entre agentes de usuario (Navegadores, 
motores de índice y otras herramientas) y servidores, regularmente utilizando el puerto 80. Entre la 
comunicación entre éstos puede intervenir otros tipos de implementaciones, como serían servidores 
Intermediarios ( Proxies), puertas de enlace y túneies. 

URL: http://tools.ietf.org/html/rfc2616 

95.1.2. Acerca de Apache. 

Apache es un servidor HTTP de código fuente abierto y licenciamiento libre que funciona en Linux, sistemas 
operativos derivados de Unix™, Windows™, Novell™ Netware y otras plataformas. Ha desempenado un papel 
muy importante en el crecimiento de Internet y continua siendo el servidor HTTP más utilizado, siendo además 
el servidor de facto contra el cual se realizan las pruebas comparativas y de desempeno para otros productos 
competidores. Es desarrollado y mantenido por una comunidad de desarrolladores auspiciada por Apache 
Softvvare Foundation. 

URL: http://www.apache.org/ 

95.2. Equipamiento lógico necesario. 

95.2.1. En CentOS y Red Hat™ Enterprise Linux. 

Ejecute lo siguiente: 


yum -y install httpd 


Ejecute lo siguiente para incluir soporte para SSL/TLS: 
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yum -y install modssl 

Ejecute lo siguiente para incluir soporte para PHP y sus módulos para MySQL y PostgreSQL: 

yum -y install php php-mysql php-pgsql 
Ejecute lo siguiente para incluir soporte para Perl y Python: 
yum -y install modperl mod_wsgi 

Nota. 

En CentOS 6 y Red Hat™ Enterprise Linux 6, el soporte para Python se incluye con el paquete mod_wsgi. En 
CentOS 5 y Red Hat™ Enterprise Linux 5, el soporte para Python se incluye con el paquete mod_python. 

yum -y install modpython 

Para poder realizar pruebas desde el mismo anfitrión local puede utilizar cualquier navegador —Firefox, Elinks, 
Lynx u Opera. A fin de poder prescindir del uso del modo gráfico y poder trabajar desde una terminal de texto, 
sugerimos instalar y utilizar el navegador Lynx. 

yum -y install lynx 

95.3. Modificaciones necesarias en el muro cortafuegos. 

Es necesario abrir los puertos 80/TCP (http) y 443/TCP (https). 

95.3.1. Utilizando system-config-firewall. 

Ejecute lo siguiente: 

system-config-firewall-tui 

Habilite las casillas WWW (HTTP) y WWW Seguro (HTTPS) y aplique los cambios. 
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Habilitando HTTP y HTTPS en system-config-firewall-tui. 
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Habilitando HTTP y HTTPS en system-config-firewall. 

95.3.2. Servicio iptables. 

Ejecute lo siguiente: 


iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT iptables -A 
INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT 
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Guarde los cambios ejecutando lo siguiente: 
service iptables save 

O bien edite el archivo /etc/sysconfig/iptables: 

vi /etc/sysconfig/iptables 
Anada el siguiente contenido: 

-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT -A INPUT -m state 
--state NEW -m tcp -p tcp --dport 443 -j ACCEPT 

Reinicie el servicio iptables: 

service iptables restart 

95.3.3. Shorevvall. 

Edite el archivo /etc/shorewall/rules: 

vi /etc/shorewall/rules 
Ariada el siguiente contenido: 

#ACTI0N SOURCE DEST PROTO DEST SOURCE # PORT P0RT(S)1 

ACCEPT all fw tcp 80,443 

Reinicie el servicio: 

service shorewall restart 

95.4. Iniciar servicio y anadirlo al arranque del sistema. 

Ejecute lo siguiente para activar el servicio en todos lo niveles de ejecución: 
chkconfig httpd on 

Ejecute lo siguiente para iniciar el servicio: 
service httpd start 

Ejecute lo siguiente para reiniciar el servicio e interrumpiendo todas las conexiones establecidas en ese 
momento: 

service httpd restart 

Ejecute lo siguiente para cargar los cambios en la configuración sin interrumpir el servicio y manteniendo 
activas todas las conexiones establecidas: 
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service httpd reload 


Ejecute lo siguiente para detener el servicio: 


service httpd stop 


95.5. SELinux y Apache. 

En CentOS y Red Hat™ Enterprise Linux, de modo predeterminado SELinux viene activo en modo obligatorio 
(i enforcing ). Éste anade seguridad y protección adicional. Algunas opciones impedirán utilizar ciertas funciones, 
como directorios virtuales fuera del directorio /var/www, directorios ~/public_html, el envío de correo 
electrónico desde aplicaciones basadas sobre HTTP, etc. 

Desactivar por completo SELinux en un sistema operativo para servidores —en lugar de intentar aprender a 
utilizarlo— puede considerarse algo absolutamente irresponsable y negligente e invariablemente denotará una 
completa ignorancia de parte del adrministrador de sistemas respecto de aspectos de seguridad fundamentales 
en CentOS y Red Hat™ Enterprise Linux. 

95.5.1. Políticas más utilizadas. 

Ejecute lo siguiente para permitir el envío de correo electrónico a través de Apache: 


setsebool -P httpd_can_sendmail 1 


Ejecute lo siguiente para permitir que Apache pueda leer contenidos localizados en los directorios de inicio de 
los usuarios locales: 


setsebool -P httpdreadusercontent 1 


Nota. 

Estas últimas dos políticas son indispensables para el funcionamiento de cualquier cliente de correo electrónico basado 
sobre HTTP ( VVebmails ). 

Ejecute lo siguiente para habilitar el uso de los directorios ~/public_html de los usuarios regulares o anfitriones 
virtuales asignados a usuarios regulares: 

setsebool -P httpdenablehomedirs 1 


Ejecute lo siguiente para permitir administrar a través de FTP o FTPS cualquier directorio gestionado por 
Apache o bien permitir a Apache funcionar como un servidor FTP escuchando peticiones a través del puerto de 
FTP: 

setsebool -P httpd_enable_ftp_server 1 
Ejecute lo siguiente sólo para desactivar la ejecución de guiones CGI: 
setsebool -P httpdenablecgi 0 

Ejecute lo siguiente para permitir las inclusiones del lado del servidor (SSI, Server Side Includes): 
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setsebool -P httpdssiexec 1 

Ejecute lo siguiente para permitir conexiones hacia bases de datos localizada en otros servidores: 
setsebool -P httpd_can_network_connect_db 1 

Ejecute lo siguiente para permitir conexiones de red hacia otros servicios —como por ejemplo sieve en Round 
Cube Mail— locales o remotos: 

setsebool -P httpd_can_network_connect 1 

Ejecute lo siguiente para desactivar la ejecución de PHP y otros lenguajes de programación: 

setsebool -P httpd_builtin_scripting 0 
Ejecute lo siguiente para permitir conexiones puertos de OpenStack: 
setsebool -P httpduse openstack 1 

Ejecute lo siguiente para consultar todas políticas disponibles que existen para Apache: 
getsebool -a |grep httpd 

Ejecute lo siguiente para consultar estas mismas políticas junto con una breve descripción: 
semanage boolean -l |grep httpd 

95.5.2. Contextos más utilizados. 

Cualquier contenido que sea puesto dentro de /var/www automáticamente heredará el contexto 

httpd sys_content_t. 

Para definir que un directorio fuera de /var/www — como por ejemplo /srv/www/dominio/public_html— pueda 
ser utilizado, se debe asignar a éste el contexto httpd_sys„content_t a través de chcon, como se muestra en 
el siguiente ejemplo: 

chcon -t httpd_sys_content_t /srv/www/dominio/public_htinl 

Cualquier contenido que sea puesto dentro de /var/www/cgi-bin automáticamente heredará el contexto 

httpd sys_script_exec_t. 

El siguiente ejemplo define se permita utilizar un directorio distinto a /var/www/cgi-bin para ejecutar guiones 
CGI: 

chcon -t httpd_sys_script_exec_t /srv/www/dominio/cgi-bin 

Ejecute lo siguiente para definir que un archivo hipotético /srv/www/dominio/public„html/leer.php pueda ser 
utilizado con permisos de sólo lectura de datos estando localizado fuera del directorio /var/www: 
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chcon -t httpd_sys_script_ro_t /srv/www/dominio/public_html/leer.php 

Ejecute lo siguiente para definir que un archivo hipotético /srv/www/dominio/public_html/escribir.php pueda 
ser utilizado con permisos de lectura y escritura de datos estando localizado fuera del directorio /var/www: 

chcon -t httpd_sys_script_rw_t /srv/www/dominio/public_html/escribir.php 


Este contexto es requerido para archivos de configuración y directorios de cache, complementos, datos, 
extensiones, módulos, plantillas, temas o temporales de aplicaciones como Joomla, Wordpress, Moodle, 
vTigerCRM, Group-Office, etc. cuando éstos utilizan componentes fuera de /var/www y se requieren permisos 
de lectura y escritura. 

Ejecute semanage con fcontext como argumento, la opción -a, la opción -t con httpd_sys_content_t como 
argumento y el directorio o archivo de destino como último argumento para establecer este contexto como el 
predeterminado para éste: 


semanage fcontext -a -t httpd_sys_rw_content_t \ 
/srv/www/dominio/public_html/leer.php 


Lo anterior permitirá establecer los contextos establecidos como los predeterminados para cada directorio o 
archivo definido. Es decir se restaurarán estos mimos contextos al ejecutar restorecon sobre estos archivos o 
directorios. Puede aplicarse también con cualquiera de los otros contextos descritos arriba. 

95.6. Procedimientos. 

95.6.1. Archivos de configuración. 

Cualquier ajuste que se requiera realizar, ya sea para configurar anfitriones virtuales, u otra funcionalidad 
adicional, se puede realizar sin tocar el archivo principal de configuración (/etc/httpd/conf/httpd.conf), 
utilizando cualquier archivo con extensión *.conf dentro del directorio /etc/httpd/conf.d/. 

95.6.2. Ocultar la versión de Apache. 

De modo predeterminado Apache mostrará siempre la versión de éste en todas las páginas de error, de índices 
e informativas. Una excelente medida de seguridad consiste en ocultar la versión de Apache utilizada. Mientras 
menos información se muestre menor será el interés de un atacante potencial. 

Utilice el editor de texto y genere un nuevo archivo denominado /etc/httpd/conf.d/serversignature.conf: 


vi /etc/httpd/conf.d/serversignature.conf 


Anada el siguiente contenido: 


ServerSignature Off 
ServerTokens Prod 


Guarde los cambios y salga del editor de texto. 

Recargue el servicio para que surtan efecto los cambios hechos a la configuración: 


service httpd reload 
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95.6.3. Directorios virtuales. 

El siguiente ejemplo anadirá un alias para el directorio /srv/www/ejemplo/ haciendo se muestre como 

http://127.CI. 0.1/ejemplo/. 

Genere primero el directorio /srv/www: 
mkdir -p /srv/www 

Cambie los contextos de SELinux para /srv/www ejecutando chcon con la opción -t con httpd_sys_content_t 
como argumento: 

chcon -t httpd_sys_content_t /srv/www 

Ejecute lo siguiente para hacer que este contexto sea en lo sucesivo el predeterminado de este directorio: 

semanage fcontext -a -t httpd_sys_content_t /srv/www 
Ejecute lo siguiente para crear el directorio /srv/www/ejemplo: 
mkdir -p /srv/www/ejemplo 

Verifique que éste heredó los mismos contextos de SELinux establecidos para /srv/www: 
ls -Z /srv/www 

Lo anterior debe devolver una salida similar a la siguiente: 

drwxr-xr-x. root root unconfined_u:object_r:httpd_sys_content_t:s0 ejemplo 
Utilice vi — o cualquier otro editor de texto— para crear el archivo /etc/httpd/conf.d/ejemplos.conf: 

vi /etc/httpd/conf.d/ejemplos.conf 
Afiada el siguiente contenido: 

Alias /ejemplo /srv/www/ejemplo 
Guarde los cambios y salga del editor de texto. 

Recargue el servicio para que surtan efecto los cambios hechos a la configuración: 
service httpd reload 

Asumiendo que realizará la prueba desde el mismo anfitrión local, visualice este nuevo directorio virtual con 
cualquier navegador a través de http://127.CI. 0.1/ejemplo/. Se mostrará que el directorio existe, pero el acceso a 
éste se encuentra denegado. 

Realice las comprobaciones desde el anfitrión local utilizando el navegador Lynx. 
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lynx http://127.0.0.1/ejemplo/ 


Lo anterior deberá mostrar un error 403 (acceso denegado), pues el directorio carece de un archivo índice. Para 
poder acceder deberá haber un documento índice en el interior (index.html, index.php, etc) o bien que dicho 
directorio sea configurado para mostrar el contenido. 

Edite de nuevo el archivo /etc/httpd/conf.d/ejemplos.conf: 

vi /etc/httpd/conf.d/ej emplos.conf 


Utilice el siguiente contenido si utiliza Apache 2.2: 


Alias /ejemplo /srv/www/ejemplo 
<Directory "/srv/www/ejemplo"> 

Options Indexes 

</Directory> 


Utilice el siguiente contenido si utiliza Apache 2.4: 


Alias /ejemplo /srv/www/ejemplo 
<Directory "/srv/www/ejemplo"> 

Options Indexes 
Require local 
Require all granted 

</Directory> 


La opción Indexes indica que se deberá mostrar el índice de contenido del directorio en ausencia de un archivo 
index.html. En Apache 2.4 se deniega el acceso a todos los directorios salvo que se indique lo contrario, razón 
por la cual se utiliza Require all granted. 


Recargue el servicio para que surtan efecto los cambios hechos a la configuración: 


service httpd reload 


Asumiendo que realizará la prueba desde el mismo anfitrión local, acceda hacia http://127.0.0.1/ejemplo/ con 
cualquier navegador y visualice el resultado. 


Si se requiere que este directorio tenga aún mayor funcionalidad, se pueden afiadir más opciones, como por 
ejemplo AllovvOverride, Includes y SymLinkslfOwnerMatch, como se muestra en el siguiente ejemplo 
para Apache 2.2: 


Alias /ejemplo /srv/www/ejemplo 
<Directory "/srv/www/ejemplo"> 

Options Indexes Includes SymLinksIfOwnerMatch 
AllowOverride all 

</Directory> 


Utilice el siguiente contenido si utiliza Apache 2.4: 
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Alias /ejemplo /srv/www/ejemplo 
<Directory "/srv/www/ejemplo"> 

Options Indexes Includes SymLinksIfOwnerMatch 
AllowOverride all 
Require local 
Require all granted 
</Directory> 


En el ejemplo anterior: 


• La opción SymLinkslfOwnerMatch habilita el uso de enlaces simbólicos dentro del directorio 
sólo si los destinos de éstos pertenecen al mismo usuario. Sólo utilice ésta si necesita acceder a 
contenidos fuera del directorio a utilizar. 

• La opción Includes especifica que se permite la utilización de los SSI (Server Side Includes). 
Sólo utilice ésta si así lo requiere la aplicación o programa utilizado dentro este directorio. 

• La opción AllowOverride, con el valor all posibilita utilizar archivos .htaccess, los cuales a su 
vez permiten aplicar opciones de directorio al vuelo, sin necesidad de modificar otros archivos de 
configuración. 

Recargue el servicio para que surtan efecto los cambios hechos a la configuración: 


service httpd reload 


Asumiendo que realizará la prueba desde el mismo anfitrión local, acceda hacia http://127.0.0.1/ejemplo/ con 
cualquier navegador y visualice el resultado. 

Realice las comprobaciones desde el anfitrión local utilizando el navegador Lynx. 


lynx http://127.0.0.1/ejemplo/ 


95.6.4. Limitar el acceso a directorios por dirección IP. 

Edite de nuevo el archivo /etc/httpd/conf.d/ejemplos.conf: 

vi /etc/httpd/conf.d/ej emplos.conf 


Si utiliza Apache 2.2, defina algo similar a lo siguiente para limitar el acceso de un directorio que esté 
disponible sólo hacia ciertas direcciones IP o segmentos de red: 


Alias /ejemplo /srv/www/ejemplo 
<Directory "/srv/www/ejemplo"> 

Order deny,allow 
Deny from all 

Allow from 127.0.0.0/8 192.168.70.0/25 

Options Indexes 
</Directory> 


Si utiliza Apache 2.4, la sintaxis cambia por una más simple: 


Alias /ejemplo /srv/www/ejemplo 
<Directory "/srv/www/ejemplo"> 

Require local 

Require ip 192.168.70.0/25 

Options Indexes 
</Directory> 
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El ejemplo anterior establece que el orden de acceso, donde primero se aplicarán las reglas de denegación y 
luego las que permitirán el acceso y que se denegará el acceso a todo el mundo, permitiendo el acceso sólo 
desde 127.0.0.0/8 y 192.168.70.0/25. 

Recargue el servicio para que surtan efecto los cambios hechos a la configuración: 
service httpd reload 

Asumiendo que realizará la prueba desde el mismo anfitrión local, acceda hacia http://127.0.0.1/ejemplo/ con 
cualquier navegador y visualice el resultado. 

Realice las comprobaciones desde el anfitrión local utilizando el navegador Lynx. 
lynx http://127.O.0.1/ejemplo/ 


En Apache 2.2 la política predeterminada es permitir el acceso a todo el mundo. Comente o elimine todas las 
líneas con directivas Allow, Deny y Order para tal fin: 


Alias /ejemplo /srv/www/ejemplo 
<Directory "/srv/www/ejemplo"> 

# Order deny,allow 

# Deny from all 

# Allow from 127.0.0.0/8 192.168.70.0/25 

Options Indexes 
</Directory> 


En Apache 2.4 la política predeterminada es lo contrario, es decir denegar el acceso a todo el mundo. Para 
permitir el acceso a todo el mundo al directorio descrito en el ejemplo, se requiere definir lo siguiente: 


Alias /ejemplo /srv/www/ejemplo 
<Directory "/srv/www/ejemplo"> 

Require local 
Require all granted 

Options Indexes 
</Directory> 


95.6.5. Limitar el acceso por usuario y contrasena. 

La autenticación para directorios contra un archivo que incluya nombres de usuario y contrasenas —que 
también puede combinarse con el acceso por dirección IP— se realiza utilizando la siguiente sintaxis: 


AuthName "Mensaje de bienvenida sin acentos ni tildes 
AuthType Basic 
Require valid-user 

AuthLlserFile /cualquier/archivo/de/cont rasenas 


Lo anterior puede ser incluido en la configuración existente para cualquier directorio o bien en archivo 

.htaccess. 


Genere el directorio /srv/www/privado/ ejecutando lo siguiente: 


mkdir -p /srv/www/privado 


Genere un archivo denominado arbitrariamente /etc/httpd/conf.d/ejemplo-autenticar.conf: 


865 







Joel Barrios Duenas 


Configuración de Servidores con GNU/Linux 


vi /etc/httpd/conf.d/ejemplo-autenticar.conf 


Anada con el siguiente contenido: 


Alias /privado /srv/www/privado 
<Directory "/srv/www/privado"> 
Options Indexes 
AllowOverride All 
</Directory> 


Recargue el servicio para que surtan efecto los cambios hechos a la configuración: 


service httpd reload 


Genere el archivo /srv/www/privado/.htaccess. 


vi /srv/www/privado/.htaccess 


Agregue el siguiente contenido: 


AuthName "Solamente usuarios autorizados" 
AuthType Basic 
Require valid-user 
AuthtlserFile /srv/www/.htpasswd 


Ejecute lo siguiente para generar el archivo /srv/www/.htpasswd: 


touch /srv/www/.htpasswd 


Ejecute lo siguiente para cambir los permisos de sólo lectura y escritura para usuario y asignar como propietario 
al usuario y grupo apache: 


chmod 600 /srv/www/.htpasswd 

chown apache:apache /srv/www/.htpasswd 


Ahada algunos usuarios virtuales al /srv/www/.htpasswd ejecutando htpasswd usando como argumentos la 
ruta del archivo de contrasenas y nombre un usuario a anadir o modificar: 


htpasswd /srv/www/.htpasswd juan 
htpasswd /srv/www/.htpasswd pedro 
htpasswd /srv/www/.htpasswd hugo 
htpasswd /srv/www/.htpasswd luis 


Realice las comprobaciones desde el anfitrión local utilizando el navegador Lynx. 


lynx http://127.0.0.1/privado/ 


95.6.6. Reasignación de directivas para PHP. 
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Suelen darse los casos donde una aplicación, escrita en PHP, requiere algunas directivas de PHP en particular. 
En muchos casos se llegan a necesitar variables que pueden comprometer la seguridad de otras aplicaciones 
hospedadas en el servidor. Para tal fin es que se puede evitar modificar el archivo /etc/php.ini utilizando la 
opción php_flag en un archivo .htaccess. La siguiente sintaxis es la siguiente: 


php_flag directivaphp valor 


95.6.6.1. Ejemplo 

Se procederá a asignar siguientes directivas al directorio en la ruta /var/www/aplicacion, mismo que será 
visualizado desde Apache como http://127.0.0.1/apticacion/\ 

• allow_urLfopen: permite hacer descargas desde PHP. Útil para actualizar aplicaciones como 
Joomla. El valor predeterminado es On 

• expose_php: define si se muestra u oculta que PHP está instalado en el servidor. El valor 
predeterminado es On. 

• post_max_size: define el tamano máximo de los datos enviados a través de las operaciones 
POST del servidor HTTP. El valor predeterminado es 8 MiB. 

• upload_max_filesize: tamano máximo de los datos a subir al servidor a través de PHP. El valor 
predeterminado es 2 MiB. 

El valor para allow_url_fopen será Off (requerido sólo por aplicaciones PHP muy antiguas o muy mal 
escritas), el valor para expose_php será Off, el valor para post_max„size será 32M y el valor para 

upload max filesize será 32M. 

Genere el directorio /var/www/aplicacion ejecutando lo siguiente: 


mkdir /var/www/aplicacion 


Genere el archivo /etc/httpd/conf.d/ejemplo-directivas-php.conf ejecutando lo siguiente: 


vi /etc/httpd/conf.d/ejemplo-directivas-php.conf 


Ahada el siguiente contenido: 


Alias /aplicacion /var/www/aplicacion 
<Directory "/var/www/aplicacion"> 
AllowOverride All 
</Directory> 


Genere el archivo /var/www/aplicacion/.htaccess realizando lo siguiente: 


touch /var/www/aplicacion/.htaccess 


Edite el archivo /var/www/aplicacion/.htaccess: 


vi /var/www/aplicacion/.htaccess 


Agregue el siguiente contenido: 
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php_flag allow_url_fopen Off 
phpvalue post_max_size 32M 
php_flag exposephp Off 
phpvalue upload_max_filesize 32M 


Genere el archivo /var/www/aplicacion/info.php, una función que muestra toda la información acerca de PHP 
en el servidor, a fin de corroborar los valores de las directivas de PHP en relación al directorio, con el siguiente 
contenido: 

<?php 

phpinfo(); 

?> 

Recargue el servicio para que surtan efecto los cambios hechos a la configuración: 
service httpd reload 


Acceda con cualquier navegador de red hacia http://127.0.0.1/aplicacion/info.php. 
Realice las comprobaciones desde el anfitrión local utilizando el navegador Lynx. 


lynx http://127.0.0.1/aplicacion/info.php 


Corrobore que los valores para las variables de PHP para el directorio involucrado realmente han sido 
asignadas. En la sub-sección PHP Core de la sección Configuration, hay tres columnas. La primera, 
Directive, corresponde a la directivas PHP. La segunda, Local Value, corresponde a los valores de las 
directivas de PHP para el directorio actual. La tercera, Master Value, corresponde a los valores de las 
directivas predeterminadas que están definidas en el archivo /etc/php.ini. 


Directive 


Local Value 


Master Value 

post max size 

32M 


8M 


expose php 

Off 


On 


allow url fopen 

Off 


On 


upload max filesize 

32M 


2M 
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96.1. Introducción. 

UTF-8 

UTF-8 es un método de codificación de ASCII para Unicode (ISO-10646), el Conjunto de Caracteres 
Universal o UCS. Éste codifica la mayoría de los sistemas de escritura del mundo en un único 
conjunto de caracteres, permitiendo la mezcla de lenguajes y guiones en un mismo documento sin la 
necesidad de ajustes para realizar los cambios de conjuntos de caracteres. 

96.2. Procedimientos. 

Lo ideal es cambiar a UTF-8 todos los documentos codificados en IS08859-1 —u otras tablas de caracteres— 
utilizando métodos similares el siguiente: 


for f in /var/www/html/*.html do vi -c ":wq! ++enc=utf8" $f done 


Si necesita rechazar el uso de UTF-8 como codificación predeterminada, puede desactivar ésta editando el 
archivo /etc/httpd/conf/httpd.conf: 


vi /etc/httpd/conf/httpd.conf 


Localice lo siguiente: 


AddDefaultCharset UTF-8 


Cambie UTF-8 por Off: 


AddDefaultCharset Off 
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97.1. Procedimientos. 

Para anadir cualquier tipo de extensión y tipo MIME definiendo además una descripción e icono, genere un 
archivo que denominado /etc/httpd/conf.d/mimes.conf: 


vi /etc/httpd/conf.d/mimes.conf 


Anada el siguiente contenido que definirá el tipo MIME para archivos Ogg: 


AddType application/ogg .ogg 
AddDescription "Ogg Vorbis Audio" .ogg 
Addlcon /icons/sound2.png .ogg 


Recargue el servicio para que surtan efecto los cambios hechos a la configuración: 


service httpd reload 


Copie o transfiera cualquier archivo de audio Ogg Vorbis a cualquier directorio compartido a través de Apache 
que permita ver el índice de éste y visualice el resultado. 
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98.1. Introducción. 

Cuando el caso lo amerite, es posible configurar un directorio en particular para que Apache redirija éste de 
modo transparente hacia cualquier otra dirección. 

98.2. Procedimientos. 

Genere el archivo denominado arbitrariamente como /etc/httpd/conf.d/ejemplo-redireccion.conf: 

vi /etc/httpd/conf.d/ejemplo-redireccion.conf 

Ahada un contenido similar a lo siguiente, reemplazando http://mail.dominio.tld/ por cualquier dirección válida: 
Redirect 301 /webmail http://mail.dominio.tld/ 

Recuerde que mail.dominio.tld es sólo un ejemplo hipotético e inexistente. 

Guarde el archivo, salga del editor de texto y regrese al intérprete de mandatos. 

Recargue el servicio para que surtan efecto los cambios hechos a la configuración: 
service httpd reload 


En el ejemplo anterior, se indica que si se trata de acceder hacia el sub-directorio /vvebmail en el servidor, 
Apache deberá redirigir hacia http://mail.dominio.tld/. El número 301 corresponde al mensaje del protocolo 
HTTP para indicar que la re-dirección es permanente. Si por ejemplo hubiese un objeto en /vvebmail, como por 
ejemplo /vvebmail/estadisticas/estadisticas.php, Apache realizaría el re-direccionamiento transparente hacia 
http://mail. dominio. tld/estadisticas/estadisticas.php. 
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99.1. Introducción. 

Suele ocurrir que los administradores de algunos sitios encuentran fácil utilizar imágenes y otros tipos de 
contenido, vinculando desde sus documentos hacia los objetos en el servidor. Ésto representa un consumo 
ancho de banda adicional para el servidor, que sólo genera tráfico inútil y por lo tanto es considerado una 
práctica poco ética. En el siguiente ejemplo se desea proteger un directorio para que sólo se permita utilizar su 
contenido si es referido desde el mismo servidor. 

99.2. Procedimientos. 

Genere el directivo /var/www/imagenes ejecutando lo siguiente: 

mkdir /var/www/imagenes 


Copie o transfiera archivos de imágenes dentro de este directorio. 

cp /usr/share/pixmaps/*.png /var/www/imagenes 


Genere el archivo /etc/httpd/conf.d/imagenes.conf ejecutando lo siguiente: 


vi /etc/httpd/conf.d/imagenes.conf 


Afiada el siguiente contenido: 


# Se permite acceder directamente a la imagen o bien si se omite 

# en el navegador la información del referente. 

SetEnvIfNoCase Referer local_referal=l 

# Se permite al propio servidor 

SetEnvIfNoCase Referer " A http://127.0.0.1" local_referal=l 
SetEnvIfNoCase Referer " A http://localhost" local_referal=l 
SetEnvIfNoCase Referer " A http://localhost.localdomain" local_referal=l 
SetEnvIfNoCase Referer " A http://192.168.70.50" local_referal=l 
SetEnvIfNoCase Referer " A http://m50.alcancelibre.org.mx" local_referal=l 
SetEnvIfNoCase Referer " A http://(www.)?midominio.org" local_referal=l 

# Se permite utilizar las imágenes a otro servidor 

SetEnvIfNoCase Referer " A http://(www.)?sitio-amigo.org" local_referal=l 

Alias /imagenes /var/www/imagenes 
<Directory "/var/www/imagenes"> 

Order Deny,Allow 
Deny from all 

Allow from env=local_referal 
</Directory> 
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Recargue el servicio para que surtan efecto los cambios hechos a la configuración: 


service httpd reload 


Pruebe la configuración creando un documento HTML en el anfitrión local y en un anfitrión remoto, el cual 
enlace hacia imágenes hospedadas en el directorio /var/www/imagenes del servidor recién configurado, y 
compare resultados. 

En lugar de lo anterior, puede utilizarse también un archivo .htaccess. Edite el archivo 
/etc/httpd/conf.d/imagenes.conf ejecutando lo siguiente: 

vi /etc/httpd/conf.d/imagenes.conf 


Reemplace el contenido existente por lo siguiente: 


Alias /imagenes /var/www/imagenes 
<Directory "/var/www/imagenes"> 
AllowOverride all 
</Directory> 


Recargue el servicio para que surtan efecto los cambios hechos a la configuración: 


service httpd reload 


Genere el archivo /var/www/imagenes/.htaccess: 

vi /var/www/imagenes/.htaccess 


Anada el siguiente contenido: 


# Se permite acceder directamente a la imagen o bien si se omite 

# en el navegador la información del referente. 

SetEnvIfNoCase Referer " A $" local_referal=l 

# Se permite al propio servidor 

SetEnvIfNoCase Referer " A http://127.0.0.1" local_referal=l 
SetEnvIfNoCase Referer " A http://localhost" local_referal=l 
SetEnvIfNoCase Referer " A http://localhost.localdomain" local_referal=l 
SetEnvIfNoCase Referer " A http://192.168.70.50" local_referal=l 
SetEnvIfNoCase Referer " A http://m50.alcancelibre.org.mx" local_referal=l 
SetEnvIfNoCase Referer " A http://(www.)?midominio.org" local_referal=l 

# Se permite utilizar las imágenes a otro servidor 

SetEnvIfNoCase Referer " A http://(www.)?sitio-amigo.com" local_referal=l 

Order Deny,Allow 
Deny from all 

Allow from env=local_referal 


Pruebe la configuración creando un documento HTML en el anfitrión local y en un anfitrión remoto —el cual 
haga enlaces hacia imágenes hospedadas en el directorio /var/www/imagenes del servidor recién configurado 
— y compare resultados. 
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100.1. Introducción. 

Apache permite mostrar el contenido de diferentes directorios dependiendo del nombre de anfitrión utilizado. Es 
decir, permite configurar anfitriones virtuales. 

El término «anfitrión virtual» se refiere en si a la práctica de hospedar más de un sitio web en un mismo 
anfitrión. Los anfitriones virtuales pueden estar basados sobre dirección IP —es decir cada sitio Web tiene una 
dirección IP propia— o bien basado sobre nombres. En cualquiera de los casos los usuarios finales jamás se 
percatan que hay más de un sitio Web en el mismo servidor. 

Cabe senalar que el anfitrión virtual predeterminado muestra el contenido que se encuentre debajo de 
/var/www/html, por lo cual conviene colocar un contenido genérico que sirva como cortinilla en lugar de 
mostrarse la página de bienvenida de Apache. 

La configuración de un anfitrión virtual requiere los siguientes datos: 

• VirtualHost: para definir la dirección IP y puerto a utilizar. 

• ServerName: para definir el nombre de anfitrión. 

• DocumentRoot: para definir el directorio raíz del anfitrión virtual. 

Sintaxis. 


La sintaxis mínima para Apache 2.4 sería la siguiente: 


<VirtualHost [dirección IP|*][:80]> 

Servername [nombre. dominio.com] 

DocumentRoot [/srv/www/dominio/public_html] 
</Virtualhost> 


En esta configuración mínima se definen: 

• VirtualHost: para definir la dirección IP y puerto a utilizar. 

• ServerName: para definir el nombre de anfitrión. 

• DocumentRoot: para definir el directorio raíz del anfitrión virtual. 
La plantilla de la configuración recomendada sería la siguiente: 
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<VirtualHost [dirección IP|*][:80]> 

Servername [nombre.dominio.coiri] 

DocumentRoot [/srv/www/dominio/public_html] 
[ServerAdmin [alguien@algo.com]] 

[ErrorLog [logs/dominio-errorlog]] 

[CustomLog [logs/dominio-access__log] [combined]] 
<Directory "[/srv/www/dominio/public_html]"> 

[AllowOverride [all|none|tipo-de-directiva]] 
[Require local] 

[Require all granted] 

</Directory> 

</Virtualhost> 


Además de la configuración mínima, en esta plantilla se definen: 

• ServerAdmin: la dirección de correo del administrador del servidor. 


• ErrorLog: ruta del archivo de registro de errores. 

• CustomLog: ruta del archivo de registro de accesos combinados 

• Directory: opciones de configuración para el directorio raíz que incluye: 

• AllovvOverride all: para activar el soporte para archivos .htaccess 

• Require local: para permitir el acceso al afitrión local 

• Requires all granted: para permitir el acceso al resto del mundo. 

Ejemplo práctico. 

Genere los directorios /srv/www/dominiol/public_html y /srv/www/dominio2/public_html: 

mkdir -p /srv/www/{dominiol,dominio2}/public_html 
Genere un archivo index.html para el primer directorio creado ejecutando la siguiente línea: 

echo "Dominio 1" > /srv/www/dominiol/public_html/index.html 
Genere un archivo index.html para el segundo directorio creado ejecutando la siguiente línea: 

echo "Dominio 2" > /srv/www/dominio2/public_html/index.html 
Genere un nuevo archivo de configuración denominado /etc/httpd/conf.d/virtuales.conf: 
vi /etc/httpd/conf.d/virtuales.conf 

Ahada el siguiente contenido, donde los valores resaltados pueden ser personalizados: 
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Guarde el archivo y salga del editor de texto. 

Es importante que los nombres de anfitrión de los anfitriones virtuales configurados —valga la redundancia— 
estén perfectamente resueltos en el propio anfitrión local. Edite el archivo /etc/hosts: 


vi /etc/hosts 


Debajo del contenido predeterminado anada lo siguiente, donde los valores resaltados pueden ser 
personalizados: 

127.0.0.1 localhost.localdomain localhost 


localhostô.localdomainô localhostô 

iviviv. domirtiol. com 
iviviv. dominio2. net 


: : 1 

127 . 0 . 0.1 

127 . 0 . 0.1 


Ejecute lo siguiente para aplicar los cambios hechos a la configuración: 
systemctl reload apache 

100.1.1. Comprobaciones desde el anfitrión local. 

Realice la pruebas comparando lo que se ve con lynx al apuntar hacia http://www.dominiol.com/ y hacia 
http://www.dominio2.net/ . Ambos tiene que mostrar contenido diferente. Al acceder a cada URL se debe 
mostrar «Anfitrión 1» o «Anfitrión 2» dependiendo del anfitrión virtual del que se trate. 

100.1.2. Comprobaciones desde un anfitrión remoto. 

Si lo desea y quiere poder realizar las pruebas desde su escritorio, necesitará un servidor DNS que resuelva los 
dos nombres utilizados en los ejemplos descritos anteriormente, con registros apuntando hacia la dirección IP 
del servidor —sea maquina virtual o máquina física. Si ésto resulta un procedimiento complicado para este 
momento, puede hacer la resolución de nombre manual. Desde el anfitrión donde configuró Apache, 
determine primero que IP tiene el servidor que está utilizando para este curso ejecutando lo siguiente: 
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ip addr list 


El siguiente procedimiento se realiza en el anfitrión remoto desde donde también podrá hacer las validaciones. 

• Edite como root el archivo /etc/hosts si utiliza Linux como escritorio. 

• Edite con sudo el archivo /private/etc/hosts si utiliza Mac OS X como escritorio. 

• Edite como administrador el archivo C:\Windows\System32\Drivers\etc\hosts si utiliza Windows como 
escritorio. 

En cualquiera de los casos, asumiendo que la dirección IP es —por mencionar ejemplo— 192.168.1.64, ahada 
lo siguiente debajo del contenido predeterminado, donde los valores resaltados pueden ser personalizados: 


192.168.1.64 www.dominiol.com 
192.168.1.64 www.dominio2.net 
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101.1. Introducción. 

101.1.1. Acerca de HTTPS. 

HTTPS es la versión segura del protocolo HTTP, inventada en 1996 por Netscape Communications 
Corporation. Es un protocolo dependiente de HTTP, consistiendo de una combinación de éste con un 
mecanismo de transporte SSL o TLS, garantizando así una protección razonable durante la comunicación 
cliente-servidor. Es ampliamente utilizado en la red mundial (WWW o World Wide Web) para comunicaciones 
como transacciones bancarias y pago de bienes y servicios. 

El servicio utiliza el puerto 443 por TCP para realizar las comunicaciones (la comunicación normal para HTTP 
utiliza el 80 por TCP). El esquema URI (Uniform Resource Identifier o Identificador Uniforme de Recursos) es, 
comparando sintaxis, idéntico al de HTTP (http:), utilizándose como «https:» seguido del subconjunto 
denominado URL (Uniform Resource Locator o Localizador Uniforme de Recursos). Ejemplo: 
https://www. empresa. com.mx/ 

URL: http://es.wikipedia.org/wiki/HTTPS y http://wp.netscape.com/eng/ssl3/draft302.txt 

101.1.2. Acerca de RSA. 

RSA, acrónimo de los apellidos de sus autores, Ron Rivest, Adi Shamir y Len Adleman, es un algoritmo para el 
ciframiento de claves públicas que fue publicado en 1977, patentado en EE.UU. en 1983 por el Instituto 
Tecnológico de Michigan (MIT). RSA es utilizado ampliamente en todo el mundo para los protocolos destinados 
para el comercio electrónico. 

URL: http://es.wikipedia.org/wiki/RSA 

101.1.3. Acerca de Triple DES. 

Triple DES o TDES, es un algoritmo que realiza un triple cifrado DES, desarrollado por IBM en 1978. Su origen 
tuvo como finalidad el agrandar la longitud de una clave sin necesidad de cambiar el algoritmo de ciframiento, lo 
cual lo hace más seguro que el algoritmo DES, obligando a un atacante el tener que triplicar el número de 
operaciones para poder hacer dano. A pesar de que actualmente está siendo reemplazado por el algoritmo AES 
(Advanced Encryption Standard, también conocido como Rijndael), sigue siendo estándar para las tarjetas de 
crédito y operaciones de comercio electrónico. 

URL: http://es.wikipedia.org/wiki/Triple_DES 

101.1.4. Acerca de X.509. 
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X.509 es un estándar ITU-T (estandarización de Telecomunicaciones de la International Telecommunication 
Union) para infraestructura de claves públicas (PKI o Public Key Infrastructure). Entre otras cosas, establece 
los estándares para certificados de claves públicas y un algoritmo para validación de ruta de certificación. Este 
último se encarga de verificar que la ruta de un certificado sea válida bajo una infraestructura de clave pública 
determinada. Es decir, desde el certificado inicial, pasando por certificados intermedios, hasta el certificado de 
confianza emitido por una Autoridad Certificadora (CA o Certification Authority). 

URL: http://es.wikipedia.Org/wiki/X.509 

101.1.5. Acerca de OpenSSL. 

OpenSSL es una implementación libre, de código abierto, de los protocolos SSL (Secure Sockets Layer o Nivel 
de Zócalo Seguro) y TLS (Transport Layer Security o Seguridad para Nivel de Transporte). Está basado sobre 
el extinto proyecto SSLeay, iniciado por Eric Young y Tim Hudson, hasta que éstos comenzaron a trabajar para 
la división de seguridad de EMC Corporation. 

URL: http://www.openssl.org/ 

101.1.6. Acerca de mod_ssl. 

Mod_ssl es un módulo para el servidor HTTP Apache, el cual provee soporte para SSL versiones 2 y 3 y TLS 
versión 1. Es una contribución de Ralf S. Engeschall, derivado del trabajo de Ben Laurie. 

URL: http://www.apache-ssl.org/ y http://httpd.apache.Org/docs/2.2/mod/mod_ssl.html 

101.2. Requisitos. 

Es necesario disponer de una dirección IP pública para cada sitio de red virtual que se quiera configurar con 
soporte SSL/TLS. Debido a la naturaleza de los protocolos SSL y TLS, es imposible utilizar múltiples 
anfitriones virtuales con soporte SSL/TLS utilizando una misma dirección IP. Cada certificado utilizado requerirá 
una dirección IP independiente en el anfitrión virtual. 

El paquete mod_ssl instala el archivo /etc/httpd/conf.d/ssl.conf, mismo que es innecesario modificar si se 
utilizan archivos de inclusión, con extensión *.conf, dentro del directorio /etc/httpd/conf.d/. Ésto se recomienda 
a fin de preservar la configuración predeterminada y poder disponer de ésta, brindando un punto de retorno en 
el caso de que alguna configuración diese problemas, limitándose sólo a modificar las opciones del archivo 
ssl.conf para configurar las rutas del certificado y firma digital. 

101.3. Modificaciones necesarias en el muro cortafuegos. 

Es necesario abrir —además del puerto 80— el puerto 443 por TCP (https). Configure el muro cortafuegos 
como se describe en el documento titulado « Configuración básica de Apache » 

101.4. Equipamiento lógico necesario. 

101.4.1. Instalación a través de yum. 

Ejecute los siguiente si se utiliza de CentOS o bien Red Hat™ Enterprise Linux: 


yum -y install mod„ssl 


101.5. Procedimientos. 
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101.5.1. Generando firma digital y certificado. 

Acceda al sistema como root. 

Durante los siguiente procedimientos se utilizará 'hostname' para calcular automáticamente el nombre de 
anfitrión del servidor. Ejecute lo siguiente para verificar cuál es el nombre de anfitrión del sistema y lo que será 
utilizado automáticamente en el nombre de los archivos de certificados y firmas digitales. 

De existir, elimine los archivos de certificados y firmas digitales previos. 


rm -f /etc/pki/tls/*/'hostname'.* 


Se debe crear una clave con algoritmo RSA de 4096 octetos y estructura x509, la cual se cifra utilizado Triple 
DES (Data Encryption Standard), almacenado en formato PEM de modo que sea interpretable como texto 
ASCII. se solicitará una contrasena para asignar a la firma digital, por lo que se recomienda utilizar una muy 
buena contrasena, la cual, mientras más complicada y difícil sea, mejor. 


openssl genrsa -des3 \ 

-out /etc/pki/tls/private/'hostname'.key 4096 


Si se utiliza el archivo *.key para la configuración del anfitrión virtual, se requerirá de interacción del 
administrador cada vez que se tenga que iniciar o reiniciar el servicio httpd, ingresando la contrasena de la firma 
digital. Este es el procedimiento más seguro, sin embargo, debido a que requiere tener que ingresar una 
contrasena cada vez que se inicie el servicio httpd, resulta más conveniente generar una firma digital RSA, la 
cual permita iniciar normalmente el servicio y sin interacción alguna. 


openssl rsa \ 

-in /etc/pki/tls/private/'hostname'.key \ 
-out /etc/pki/tls/private/'hostname'.pem 


El archivo *.pem será el que se especifique más adelante como valor de la opción SSLCertificateKeyFile en la 
configuración deApache. 


Ejecute lo siguiente para crear el archivo CSR (Certificate Signing Request): 


openssl req -sha256 -new \ 

-key /etc/pki/tls/private/'hostname'.key \ 
-out /etc/pki/tls/certs/'hostname'.csr 


Lo anterior solicitará se ingresen varios datos: 

• Código de dos letras para el país. 

• Estado o provincia. 

• Ciudad. 

• Nombre de la empresa o razón social. 

• Unidad o sección. 

• Nombre del anfitrión. Debe ser el nombre con el que se accederá hacia el servidor y dicho 
nombre deberá estar resuelto en un DNS. 

• Dirección de correo electrónico válida del administrador del sistema. 

• De manera opcional se puede anadir otra contrasena y nuevamente el nombre de la empresa. 
Poco recomendado, a menos que quiera ingresar ésta cada vez que se inicie o reinicie el servicio 

httpd. 

La salida será similar a la siguiente: 
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You are about to be asked to enter information that will be 
incorporated into your certificate request. 

What you are about to enter is what is called a Distinguished Name or 
a DN. 

There are quite a few fields but you can leave some blank 
For some fields there will be a default value, 

If you enter the field will be left blank. 


Country Name (2 letter code) [GB] :MX 

State or Province Name (full name) [Berkshire] :Distrito Federal 
Locality Name (eg, city) [Newbury] :Mexico 

Organization Name (eg, company) [My Company Ltd] :Empresa, S.A. de C.V. 
Organizational Unit Name (eg, section) []:Direccion Comercial 
Common Name (eg, your name or your server's hostname) []: www.empresa.com.mx 
Email Address []: alguien@algo.com 

Please enter the following 'extra' attributes 
to be sent with your certificate request 
A challenge password []: 

An optional company name []: 


El archivo de solicitud CSR resultante es el que se entrega al Autoridad de Certificación o Registration 
Authority —como Verisign, Comodo, Geotrust, etc.— que a su vez entrega de vuelta un archivo de certificado 
firmado. 

Ejecute lo siguiente para crear un certificado auto-firmado con estructura X.509 en el que se establece una 
validez por 1825 días (5 afios): 


openssl x509 -sha256 -req -days 1825 \ 

-in /etc/pki/tls/certs/'hostname'.csr \ 
-signkey /etc/pki/tls/private/'hostname'.key \ 
-out /etc/pki/tls/certs/'hostname'.crt 


Cambie los permisos de todos los archivos creados a lectura y escritura sólo para root. 


chmod 600 /etc/pki/tls/*/'hostname'.* 


101.5.2. Configuración simple de Apache para un único dominio. 

Confirme cuál es el nombre de anfitrión del sistema: 

hostname 

Edite el archivo /etc/httpd/conf.d/ssl.conf: 

vim /etc/httpd/conf.d/ssl.conf 


Localice lo siguiente: 


# Server Certificate: 

# Point SSLCertificateFile at a PEM encoded certificate. If 

# the certificate is encrypted, then you will be prompted for a 

# pass phrase. Note that a kill -HUP will prompt again. A new 

# certificate can be generated using the genkey(l) command. 

SSLCertificateFile /etc/pki/tls/certs/localhost .crt 

# Server Private Key: 

# If the key is not combined with the certificate, use this 

# directive to point at the key file. Keep in mind that if 

# you've both a RSA and a DSA private key you can configure 

# both in parallel (to also allow the use of DSA ciphers, etc.) 

SSLCertificateKeyFile /etc/pki/tls/private/localhost .key 
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Cambie localhost.crt y localhost.key por www.empresa.com.mx.crt y www.empresa.com.mx.pem, donde 
www.empresa.com.mx es sólo un ejemplo hipotético y corresponde al nombre de anfitrión del servidor: 


# Server Certificate: 

# Point SSLCertificateFile at a PEM encoded certificate. If 

# the certificate is encrypted, then you will be prompted for a 

# pass phrase. Note that a kill -HUP will prompt again. A new 

# certificate can be generated using the genkey(l) command. 

SSLCertificateFile /etc/pki/tls/certs/www .empresa.com.mx.crt 

# Server Private Key: 

# If the key is not combined with the certificate, use this 

# directive to point at the key file. Keep in mind that if 

# you've both a RSA and a DSA private key you can configure 

# both in parallel (to also allow the use of DSA ciphers, etc.) 

SSLCertificateKeyFile /etc/pki/tls/private/www .empresa.com.mx.pem 


Localice lo siguiente: 


# SSL Protocol support: 

# List the enable protocol levels with which clients will be able to 

# connect. Disable SSLv2 access by default: 

SSLProtocol all -SSLv2 


Notará que está deshabilitado el protocolo SSLv2. Por razones de seguridad es buena idea deshabilitar también 
el soporte para SSLv3. Es un protocolo muy inseguro y susceptible a la tristemente célebre vulnerabilidad 
conocida como POODLE. Si atacantes explotan exitosamente esta vulnerabilidad sólo necesitan hacer 
alrededor de 256 solicitudes SSL 3.0 para revelar datos de las conexiones cifradas. Lo más inteligente que 
puede hacer cualquier administrador de sistemas es deshabilitar el soporte para SSLv3. 


# SSL Protocol support: 

# List the enable protocol levels with which clients will be able to 

# connect. Disable SSLv2 access by default: 

SSLProtocol all -SSLV2 -SSLV3 


Reinicie el servicio para que surtan efecto los cambios: 


service httpd restart 


Lo anterior deberá de proceder sin solicitar la contraseha de la firma digital. Si se solicita una contrasena, 
significa que estableció www.empresa.com.mx.key como valor de la opción SSLCertificateKeyFile en la 
configuración de Apache. 

101.5.3. Configuración de Apache para múltiples dominios. 

Omita el procedimiento anterior. 


Es importante resaltar que cada dominio deberá contar con su propia dirección IP, pues el protocolo HTTPS 
impedirá utilizar más de un certificado por dirección IP. 


El primer paso consiste en crear la estructura de directorios para el anfitrión virtual. 

mkdir -p /var/www/dominio/{cgi-bin,html,logs,etc} 

De todos directorios creados, sólo /var/www/dominio/html, /var/www/dominio/etc y /var/www/dominio/cgi- 

bin pueden pertenecer a un usuario sin privilegios, quien administrará este anfitrión virtual. 
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Crear el archivo /etc/httpd/conf.d/dominio.conf: 


vim /etc/httpd/conf.d/dominio.conf 


Adaptar la siguiente plantilla como contenido de este archivo, donde a.b.c.d corresponde a una dirección IP y 
dominio corresponde al nombre de dominio a configurar para el anfitrión virtual: 


### dominio ### 

NameVirtualHost a.b.c.d:80 

<VirtualHost a.b.c.d:80> 

ServerAdmin webmaster@dominio 
DocumentRoot /var/www/dominio/html 
ServerName www.dominio 
ServerAlias dominio 
Redirect 301 / https://www.donu.nio/ 

CustomLog logs/dominio-access_log combined 
Errorlog logs/dominio-error_log 
</VirtualHost> 

NameVirtualHost a.b.c.d:443 

<VirtualHost a.b.c.d:443> 

ServerAdmin webmaster@dominio 
DocumentRoot /var/www/dominio/html 
ServerName www.dominio 

ScriptAlias /cgi-bin/ /var/www/dominio/cgi-bin/ 

<Directory "/var/www/dominio/cgi-bin"> 

SSLOptions +StdEnvVars 
</Directory> 

SSLEngine on 

SSLProtocol all -SSLv2 -SSLv3 

SSLCipherSuite ALL:!ADH:IEXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW 
SSLCertificateFile /etc/pki/tls/certs/dominio.crt 
SSLCertificateKeyFile /etc/pki/tls/private/dominio.pem 
SetEnvIf User-Agent ",*MSIE.*" \ 

nokeepalive ssl-unclean-shutdown \ 
downgrade-1.0 force-response-1.0 
CustomLog logs/dominio-ssl_request_log \ 

"%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b" 
Errorlog logs/dominio-ssl_error_log 
TransferLog logs/dominio-ssl_access_log 
LogLevel warn 
</VirtualHost> 


Afin de que surtan efecto los cambios, es necesario reiniciar el servicio httpd. 


service httpd restart 


Lo anterior deberá de proceder sin solicitar la contraseha de la firma digital (la que asignó cuando se creo 
dominio.key). En caso contrario, significa que estableció dominio.key como valor de la opción 
SSLCertificateKeyFile en la configuración de Apache. 

101.5.4. Comprobación. 

Acceda con cualquier navegador HTTP hacia https://www.dominio/ a fin de verificar que todo esté trabajando 
correctamente. Tras aceptar el certificado, en el caso de que éste no haya sido firmado por un RA, deberá 
poderse observar un signo en la barra de estado del navegador, el cual indica que se trata de una conexión 
segura. 
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102.1. Introducción. 

102.1.1. ôQué es Servidor Intermediario (Proxy)? 

El término en ingles «Proxy» tiene un significado muy general y al mismo tiempo ambiguo, aunque 
invariablemente se considera un sinónimo del concepto de «Intermediario». Se suele traducir, en el sentido 
estricto, como delegado o apoderado (el que tiene poder sobre otro). 

Un Servidor Intermediario se define como una computadora o dispositivo que ofrece un servicio de red que 
consiste en permitir a los clientes realizar conexiones de red indirectas hacia otros servicios de red. Durante el 
proceso ocurre lo siguiente: 

1. Cliente se conecta hacia un Servidor Proxy. 

2. Cliente solicita una conexión, archivo u otro recurso disponible en un servidor distinto. 

3. Servidor Intermediario proporciona el recurso ya sea conectándose hacia el servidor especificado 
o sirviendo éste desde un caché. 

4. En algunos casos el Servidor Intermediario puede alterar la solicitud del cliente o bien la 
respuesta del servidor para diversos propósitos. 

Los Servidores Proxy generalmente se hacen trabajar simultáneamente como muro cortafuegos operando en 
el Nivel de Red, actuando como filtro de paquetes, como en el caso de iptables o bien operando en el Nivel 
de Aplicación, controlando diversos servicios, como es el caso de TCP Wrapper. Dependiendo del contexto, el 
muro cortafuegos también se conoce como BPD o Border Protection Device o simplemente filtro de paquetes. 

Una aplicación común de los Servidores Proxy es funcionar como caché de contenido de Red (principalmente 
HTTP), proporcionando en la proximidad de los clientes un caché de páginas y archivos disponibles a través de 
la Red en servidores HTTP remotos, permitiendo a los clientes de la red local acceder hacia éstos de forma 
más rápida y confiable. 

Cuando se recibe una petición para un recurso de Red especificado en un URL (Uniform Resource Locator) el 
Servidor Intermediario busca el resultado del URL dentro del caché. Si éste es encontrado, el Servidor 
Intermediario responde al cliente proporcionado inmediatamente el contenido solicitado. Si el contenido 
solicitado estuviera ausente en el caché, el Servidor Intermediario lo traerá desde servidor remoto, 
entregándolo al cliente que lo solicitó y guardando una copia en el caché. El contenido en el caché es eliminado 
luego a través de un algoritmo de expiración de acuerdo a la antiguedad, tamano e historial de respuestas a 
solicitudes (hits) (ejemplos: LRU, LFUDA y GDSF). 

Los Servidores Proxy para contenido de Red (Web Proxies) también pueden actuar como filtros del contenido 
servido, aplicando políticas de censura de acuerdo a criterios arbitrarios. 

102.1.2. Acerca de Squid. 


884 



Joel Barrios Duenas 


Configuración de Servidores con GNU/Linux 


Squid es un Servidor Intermediario de alto desempeno que se ha venido desarrollando desde hace varios 
anos y es hoy en día una muy popular solución que es ampliamente utilizada entre los sistemas operativos 
como GNU/Linux y derivados de Unix®. Es muy confiable, robusto y versátil y se distribuye bajo los términos de 
la Licencia Pública General GNU (GNU/GPL). Siendo equipamiento lógico libre, está disponible el código 
fuente para quien así lo requiera. 

Entre otras cosas, Squid puede funcionar como Servidor Intermediario y caché de contenido de Red para 
los protocolos HTTP, FTP, GOPHER y WAIS, Proxy de SSL, caché transparente, WWCP, aceleración HTTP, 
caché de consultas DNS y otras muchas más como filtración de contenido y control de acceso por IP y por 
usuario. 

Squid consiste de un programa principal como servidor, un programa para búsqueda en servidores DNS, 
programas opcionales para reescribir solicitudes y realizar autenticación y algunas herramientas para 
administración y herramientas para clientes. Al iniciar Squid da origen a un número configurable (5, de modo 
predeterminado a través de la opción dns_children) de procesos de búsqueda en servidores DNS, cada uno 
de los cuales realiza una búsqueda única en servidores DNS, reduciendo la cantidad de tiempo de espera para 
las búsquedas en servidores DNS. 


Nota. 

Squid carece de soporte para ser utilizado como Servidor Proxy para protocolos como SMTP, POP3, TELNET, 

SSH, IRC, etc. Si se requiere intermediar para cualquier protocolo distinto a HTTP, HTTPS, FTP, GOPHER y WAIS 

se requerirá implementar obligatoriamente un enmascaramiento de IP o NAT (Network Address Translation) o bien hacer 
uso de un servidor SOCKS como Dante (http://www.inet.no/dante/). 

URL: http://www.squid-cache.org/ 

102.2. Equipamiento lógico necesario. 

Para poder llevar al cabo los procedimientos descritos en este y otros documentos relacionados, se requiere 
instalar al menos lo siguiente: 

• Al menos squid-2.5.STABLE6 

• Todos los parches de seguridad disponibles para la versión del sistema operativo que esté 
utilizando. 

• Un muro cortafuegos configurado con system-config-firewall, Firewalld o Shorewall. 

Squid sólo se instala de manera predeterminada cuando se instala el grupo de paquetes denominado 
«Servidor Web». El procedimiento de instalación es exactamente el mismo que con cualquier otro 
equipamiento lógico. 

102.2.1. Instalación a través de yum. 

Si se utiliza CentOS o Red Hat™ Enterprise Linux, ejecute: 


yum -y install squid 


102.3. SELinux y el servicio squid. 
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En CentOS 6 y Red Hat™ Enterprise Linux 6, la política squid_connect any viene habilitada de modo 
predeterminado. En CentOS 5 y Red Hat™ Enterprise Linux 5, esta política viene deshabilitada de modo 
predeterminado. Esta política hace que SELinux permita a Squid aceptar conexiones de los clientes desde 
cualquier dirección IP. Si utiliza CentOS 5 y Red Hat™ Enterprise Linux 5, ejecute: 

setsebool -P squid_connect_any 1 


Para SELinux permita a Squid operar en modo transparente en CentOS 6 y Red Hat™ Enterprise Linux 6, 
ejecute: 


setsebool -P squid_use_tproxy 1 


Nota. 

En CentOS 5 y Red Hat™ Enterprise Linux 5, se pude utilizar una política adicional. Para que SELinux permita al 
servicio squid funcionar normalmente, haciendo que todo lo anteriormente descrito en esta sección pierda sentido, 
ejecute: 


setsebool -P squid_disable_trans 1 


102.4. Antes de continuar. 


Al editar el archivo de configuración de Squid evite dejar espacios vacíos en lugares indebidos. El siguiente 
ejemplo muestra la manera incorrecta de habilitar un opción. 

Mal 

# Opción incorrectamente habilitada. 


http_port| 


El siguiente ejemplo muestra la manera correcta de habilitar un opción. 


Bien 


# Opción correctamente habilitada. 


http_port 


8080 


102.5. Configuración básica. 

Squid utiliza el archivo de configuración localizado en /etc/squid/squid.conf y podrá trabajar sobre este 
utilizando su editor de texto simple preferido. Existen un gran número de opciones, de los cuales 
recomendamos configurar los siguientes: 

• Al menos una Lista de Control de Acceso 

• Al menos una Regla de Control de Acceso 

• httpport 

• cache_dir 

• error_directory, sólo si va a personalizar mensajes de error. 
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El resto de los opciones mencionados en este documento son, valga la redundancia, opcionales. 


Edite el archivo /etc/squid/squid.conf: 


vi /etc/squid/squid.conf 


102.5.1. Controles de acceso. 

Para poder controlar el tráfico de los clientes hacia Internet, es necesario establecer Listas de Control de 
Acceso que definan una red o bien ciertos anfitriones en particular. A cada lista se le asignará una Regla de 
Control de Acceso que permitirá o denegará el acceso a Squid. 

102.5.1.1. Listas de control de acceso. 

De modo predeterminado en CentOS 7 y Red Hat™ Enterprise Linux 7, Squid habilita el acceso a todas las 
redes locales, definidas en el RFC1918. Es decir, permite el acceso a 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, 
fc00::/7 y fe80::/10. 


# Example rule allowing access from your local networks. 

# Adapt to list your (internal) IP networks from where browsing 

# should be allowed 

acl localnet src 10.0.0.0/8 # RFC1918 possible internal network 

acl localnet src 172.16.0.0/12 # RFC1918 possible internal network 

acl localnet src 192.168.0.0/16 # RFC1918 possible internal network 

acl localnet src fc00::/7 # RFC 4193 local private network range 

acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) machines 


Para poner un mínimo de seguridad, todo lo anterior debe ser deshabilitado colocando una almoadilla (#) al 
inicio de cada línea. 


# Example rule allowing access from your local networks. 

# Adapt to list your (internal) IP networks from where browsing 

# should be allowed 

# acl localnet src 10.0.0.0/8 # RFC1918 possible internal network 

# acl localnet src 172.16.0.0/12 # RFC1918 possible internal network 

# acl localnet src 192.168.0.0/16 # RFC1918 possible internal network 

# acl localnet src fc00::/7 # RFC 4193 local private network range 

# acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) machines 


Regularmente una lista de control de acceso se establece con la siguiente sintaxis: 

acl [nombre de la lista] [tipo] [lo que compone a la lista] 


Si se desea establecer una lista de control de acceso que abarque a toda la red local, basta definir la IP 
correspondiente a la red y la máscara de la sub-red. Por ejemplo, si se tiene una red donde los anfitriones 
tienen direcciones del segmento IP 172.16.100.0/28, se puede utilizar lo siguiente: 

acl localnet src 172.16.100.0/28 


También puede definirse una Lista de Control de Acceso especificando un archivo localizado en cualquier 
parte del disco duro y la cual contiene una lista de direcciones IP. Ejemplo: 

acl permitidos src "/etc/squid/listas/permitidos" 


El archivo /etc/squid/listas/permitidos tendría un contenido similar al siguiente: 
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172.16.100.1 

172.16.100.2 

172.16.100.3 

172.16.100.15 

172.16.100.16 
172.16.100.20 
172.16.100.40 


Lo anterior estaría definiendo que la Lista de Control de Acceso denominada permitidos estaría compuesta 
por las direcciones IP incluidas en el archivo /etc/squid/listas/permitidos. 

102.5.1.2. Reglas de Control de Acceso. 

Estas definen si se permite o deniega acceso hacia Squid. Se aplican a las Listas de Control de Acceso. 
Deben colocarse en la sección de reglas de control de acceso definidas por el administrador, es decir, a partir 
de donde se localiza la siguiente leyenda: 


# 

# INSERT YOUR 0WN RULE(S) HERE TO ALL0W ACCESS FROM YOUR CLIENTS 

# 


La sintaxis básica de una regla de control de acceso es la siguiente: 

http_access [deny o allow] [lista de control de acceso] 


Para desactivar la configuración predeterminada y poder utilizar una diferente, localice La línea que incluye 

http_access allow localnet: 

# Example rule allowing access from your local networks. 

# Adapt localnet in the ACL section to list your (internal) IP networks 

# from where browsing should be allowed 
http_access allow localnet 

http_access allow localhost 


Deshabilite esta línea colocando una almohadilla (# al inicio de ésta: 


# Example rule allowing access from your local networks. 

# Adapt localnet in the ACL section to list your (internal) IP networks 

# from where browsing should be allowed 

# http_access allow localnet 

http_access allow localhost 


En el siguiente ejemplo se considera una regla que establece acceso permitido a Squid a la Lista de Control 
de Acceso denominada permitidos: 

http_access allow permitidos 


También pueden definirse reglas valiéndose de la expresión !, la cual significa no. Pueden definirse, por 
ejemplo, dos listas de control de acceso, una denominada listal y otra denominada Iista2, en la misma regla 
de control de acceso, en donde se asigna una expresión a una de estas. La siguiente establece que se permite 
el acceso a Squid a lo que comprenda listal excepto aquello que comprenda Iista2: 


http_access allow listal !lista2 
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Este tipo de reglas son útiles cuando se tiene un gran grupo de IP dentro de un rango de red al que se debe 
permitir acceso y otro grupo dentro de la misma red al que se debe denegar el acceso. 

102.5.2. Aplicando Listas y Reglas de control de acceso. 

Una vez comprendido el funcionamiento de la Listas y las Regla de Control de Acceso, se procede a determinar 
cuales utilizar para la configuración. 

102.5.2.1. Caso 1. 

Considerando como ejemplo que se dispone de una red 172.16.100.0/28, si se desea definir toda la red local, 
se utilizaría la siguiente línea en la sección de Listas de Control de Acceso: 

acl localnet src 172.16.100.0/28 


Habiendo hecho lo anterior, la sección de listas de control de acceso debe quedar más o menos del siguiente 
modo: 

Listas de Control de Acceso: definición de una red local completa 


# 

# Recommended minimum configuration: 
acl all src 0.0.0.0/0 
acl manager proto cache_object 
acl localhost src 127.0.0.1/8 
acl localnet src 172.16.100.0/28 


Acontinuación se procede a aplicar la regla de control de acceso: 


http_access allow localnet 


Habiendo hecho lo anterior, la zona de reglas de control de acceso debería quedar de modo similar al siguiente: 


Reglas de control de acceso: Acceso a una Lista de Control de Acceso. 


# 

# INSERT Y0UR 0WN RULE(S) HERE T0 ALL0W ACCESS FR0M Y0UR CLIENTS 

# 

http_access allow localhost 

http_access allow localnet 

http_access deny all 


La regla http_access allow localnet permite el acceso a Squid a la Lista de Control de Acceso denominada 
localnet, la cual, en el siguiente ejemplo, está conformada por 172.16.100.0/28. Esto significa que cualquier 
anfitrión desde 172.16.100.1 hasta 172.16.100.14 podrá acceder a Squid. 

102.5.2.2. Caso 2. 

Si sólo se desea permitir el acceso a Squid a ciertas direcciones IP de la red local, deberemos crear un archivo 
que contenga dicha lista. Genere el archivo /etc/squid/listas/localnet, dentro del cual se incluirán sólo aquellas 
direcciones IP que desea confirmen la Lista de Control de acceso. Ejemplo: 
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172.16.100.1 

172.16.100.2 

172.16.100.3 

172.16.100.4 

172.16.100.5 

172.16.100.6 

172.16.100.7 


Denominaremos a esta lista de control de acceso como localnet: 


acl localnet src "/etc/squid/listas/localnet" 


Habiendo hecho lo anterior, la sección de listas de control de acceso debe quedar más o menos del siguiente 
modo: 


Listas de Control de Acceso: definición de una red local completa 


# 

# Recommended minimum configuration: 

acl all src 0.0.0.0/0 

acl manager proto cache_object 

acl localhost src 127.0.0.1/255.255.255.255 

acl localnet src "/etc/squid/listas/localnet" 


Acontinuación se procede a aplicar la regla de control de acceso: 


http_access allow localnet 


Habiendo hecho lo anterior, la zona de reglas de control de acceso debería quedar de modo similar al siguiente: 


Reglas de control de acceso: Acceso a una Lista de Control de Acceso. 


# 

# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS 

# 

http_access allow localhost 

http_access allow localnet 

http_access deny all 


La regla http_access allow localnet permite el acceso a Squid a la Lista de Control de Acceso denominada 
localnet, la cual está conformada por las direcciones IP especificadas en el archivo /etc/squid/listas/localnet. 
Esto significa que cualquier anfitrión excluido del archivo /etc/squid/listas/localnet se le denegará el acceso a 

Squid. 

102.5.3. Opción cache_mgr. 

Esta opción es de carácter informativo. De modo predeterminado, si algo ocurre con el caché, como por 
ejemplo que muera el procesos, se enviará un mensaje de aviso a la cuenta webmaster del servidor. Puede 
especificarse una distinta si acaso se considera conveniente. 

cache_mgr joseperez@midominio.net 


102.5.4. Opción http_port. 
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Esta opción es utilizado para indicar el puerto a través del cual escuchará peticiones Squid. El valor 
predeterminado es 3128, es deicr, Squid escuchará peticiones a través del puerto 3128/tcp. 

http_port 3128 

El puerto estándar designado para servidores de caché de Internet (vvebcache) es el puerto 8080. 
http_port 8080 


La opción permite establecer también si se quiere utilizar una dirección IP en particular. Esto anade mayor 
seguridad al servicio, pues si se tiene dos tarjetas de red, una con una dirección IP pública y otra con una 
dirección IP privada, se puede establecer que Squid sólo permita conexiones desde la dirección IP privada. 

http_port 192.168.80.1:8080 


Si se necesita configurar un servidor proxy en modo transparente, sólo es necesario ahadir la opción intercept, 
misma que desde la versión 3.1 de Squid reemplaza a la opción transparent. 

http_port 192.168.80.1:8080 intercept 


Nota. 

Para configurar un servidor proxy en modo transparente en CentOS 5 y Red Hat EnterpriseLinux 5 y versiones 
anteriores, utilice la opción transparent: 


http_port 192.168.80.1:8080 transparent 


102.5.5. Opción cache_dir. 

Esta opción se utiliza para establecer que tamano se desea que utilice Squid para almacenamiento de caché en 
el disco duro. De modo predeterminado Squid utilizará el formato ufs para crear en el directorio 
/var/spool/squid un caché de 100 MB, dividido en jerarquías de 16 directorios subordinados, hasta 256 niveles 
cada uno: 

cache_dir ufs /var/spool/squid 100 16 256 


Se puede incrementar el tamano del caché hasta donde lo desee el administrador. Mientras más grande sea el 
caché, más objetos se almacenarán en éste y por lo tanto se consumirá menos el ancho de banda. La siguiente 
línea establece un caché de 2 GB: 

cache_dir ufs /var/spool/squid 2048 16 256 


El formato de cache ufs puede llegar a bloquear el proceso principal de Squid en operaciones de entrada/salida 
sobre el sistema de archivos cuando hay muchos clientes conectados. Para evitar que esto ocurra, se 
recomienda utilizar aufs, que utiliza el mismo formato de ufs, pero funciona de manera asincrónica, 
consiguiéndose un mejor desempeno. 

cache_dir aufs /var/spool/squid 2048 16 256 


102.5.6. Opción maximum_object_size. 
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Esta opción se utiliza para definir el tamano máximo de los objetos en el caché. Se recomienda establecerla en 
escenarios con alta carga de trabajo, puesto que permite evitar desperdiciar recursos de sistema almacenando 
en el caché objetos de gran tamano que probablemente sólo sean aprovechados por unos pocos usuarios, 
optimizando el uso del caché con objetos pequehos que de otro modo generarían una gran cantidad de 
peticiones hacia las redes públicas. En el siguiente ejemplo se establece un límite de 48 MB para los objetos del 
caché. 


maximum_object_size 48 MB 


102.5.7. Opciones cache_swap_low y cache_swap_high. 

Es posible realizar una limpieza automática del caché de Squid cuando éste llegue a cierta capacidad. La 
opción cache_swap_low establece el porcentaje a partir del cual se comenzará a limpiar el cache. La opción 
cache_swap_high establece el porcentaje a partir del cual se comenzará a limpiar de manera agresiva el 
cache. En el siguiente ejemplo se establece que el cache se comienza a limpiar cuando alcanza el 90% y se 
comienza a limpiar de manera agresiva cuando alcanza el 95%. 


cache_swap_low 90 
cache_swap_high 95 


Lo anterior permite tener un caché saludable que se limpia automáticamente. Se recomienda utilizar estas 
opciones en escenarios con alta carga de trabajo. 

102.5.8. Opción cache_replacement_policy. 

Através de esta opción se incluye soporte para los siguientes algoritmos para el caché: 

Acrónimo de Least Recently Used, que traduce como Menos Recientemente Utilizado. En este algoritmo los 
. RU objetos que fueron accedidos hace mucho tiempo, son eliminados primero y manteniendo siempre en el caché 
a los objetos más recientemente solicitados. Ésta política es la utilizada por Squid de modo 
predeterminado. 

Acrónimo de Least Frequently Used with Dynamic Aging, que se traduce como Menos Frecuentemente 
Utilizado con Envejecimiento Dinámico. En este algoritmo los objetos más solicitados permanecen en el 
LFUDA caché sin importar su tarnano optimizando la eficiencia (hit rate) por octetos (Bytes) a expensas de la 

eficiencia misma, de modo que un objeto grande que se solicite con mayor frecuencia impedirá que se pueda 
hacer caché de objetos pequenos que se soliciten con menor frecuencia. 

Acrónimo de GreedyDual Size Frequency, que se traduce como Frecuencia de tamano GreedyDual 
(i codicioso dual ), que es el algoritmo sobre el cual se basa GDSF. Optimiza la eficiencia (hit rate) por objeto 
GDSF manteniendo en el caché los objetos pequenos más frecuentemente solicitados de modo que hay mejores 

posibilidades de lograr respuesta a una solicitud (hit). Tiene una eficiencia por octetos (Bytes) menor que el 
algoritmo LFUDA debido a que descarta del caché objetos grandes que sean solicitado con frecuencia. 

El algoritmo recomendado y que ha demostrado mejor desempeno en escenarios de alta carga de trabajo es 
LFUDA. 


cache_replacement_policy heap LFUDA 


102.5.9. Opción cache_mem. 

La opción cache_mem establece la cantidad ideal de memoria para lo siguiente: 

• Objetos en tránsito. 

• Objetos frecuentemente utilizados (Hof). 

• Objetos negativamente almacenados en el caché. 
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Los datos de estos objetos se almacenan en bloques de 4 Kb. La opción cache_mem especifica un límite 
máximo en el tamano total de bloques acomodados, donde los objetos en tránsito tienen mayor prioridad. Sin 
embargo los objetos frecuentemente utilizados ( Hot ) y aquellos negativamente almacenados en el caché, 
podrán utilizar la memoria sin utilizar hasta que esta sea requerida. De ser necesario, si un objeto en tránsito es 
mayor a la cantidad de memoria especificada, Squid excederá lo que sea necesario para satisfacer la petición. 

De modo predeterminado, desde la versión 3.1 de Squid, se establecen 256 MB, que es más que suficiente 
para las necesidades de redes de área local con pocos anfitriones. Puede especificar una cantidad menor para 
obtener un mejor rendimiento, pues conviene utilizar la memoria disponible para hacer cache en memoria de 
muchos objetos pequenos que son frecuentemente visitados, que hacer cache de unos pocos objetos grandes 
que sólo unos pocos usuarios aprovecharán. En el siguiente ejemplo se establecen 48 MB como límite de 
tarnano para los objetos en tránsito: 

cache_mem 48 MB 


m 


Nota. 


En CentOS 5 y Red Hat EnterpriseLinux 5 y versiones anteriores, el valor predeterminado de cache_mem son 8 MB, por 
lo cual puede incrementar este valor hasta donde se considere pertinente. 


cache_mem 32 MB 


102.6. Estableciendo el idioma de los mensajes mostrados por Squid 
hacia el usuario. 

Squid incluye traducción a distintos idiomas de las distintas páginas de error e informativas que son 
desplegadas en un momento dado durante su operación. Dichas traducciones se pueden encontrar en 
/usr/share/squid/errors/. Desde la versión 3.0 de Squid, el idioma se detecta automáticamente a partir del 
navegador utilizado por el usuario. Es innecesario modificar opción alguno, salvo que se haya personalizado los 
mensajes, en cuyo caso conviene utilizar una ruta distinta a la del idioma utilizado para evitar se sobre-escriban 
los archivos después de actualizar el sistema. 


Nota. 

En CentOS 5 y Red Hat™ Enterprise Linux 5 y versiones anteriores, el idioma de los mensajes de error se establece a 
través dla opción error_directory, cuyo valor predeterminado es /usr/share/squid/errors/English y puede ser 
cambiado por el valor /usr/share/squid/errors/Spanish: 


error_directory /usr/share/squid/errors/Spanish 


102.7. Iniciando, reiniciando y anadiendo el servicio al arranque del 
sistema. 

Una vez terminada la configuración, para iniciar por primera vez Squid ejecute: 
service squid start 

Si necesita volver a cargar la configuración para probar cambios realizados, sin detener el servicio, ejecute: 
service squid reload 
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Si necesita reiniciar para probar cambios hechos en la configuración, considerando que este proceso puede 
llegar a demorar algunos minutos, ejecute: 

service squid restart 

Para que Squid inicie de manera automática junto con el sistema, ejecute: 
chkconfig squid on 


Lo anterior habilitará el servicio squid en todos los niveles de ejecución. 

102.8. Depuración de errores 

Cualquier error al inicio de Squid sólo significa que hubo errores de sintaxis, errores de dedo o bien se están 
citando incorrectamente las rutas hacia los archivos de las Listas de Control de Acceso. 

Puede realizar diagnóstico de problemas indicándole a Squid que vuelva a leer configuración, lo cual devolverá 
los errores que existan en el archivo /etc/squid/squid.conf. 

service squid reload 


Cuando se trata de errores graves que impiden iniciar el servicio, puede examinarse el contenido del archivo 
/var/log/squid/squid.out con el mandato less, more o cualquier otro visor de texto: 


tail -80 /var/log/squid/squid.out 


102.9. Modificaciones necesarias en el muro cortafuegos. 

Si se utiliza un cortafuegos con políticas estrictas, como por ejemplo Shorevvall, es necesario abrir el puerto 
8080 por TCP (vvebcache), si se eligió utilizar el puerto 8080 en lugar del 3128. 

La regla para el archivo /etc/shorevvall/rules de Shorevvall, que sólo permitirá el acceso hacia Squid desde la 
zona de red de área local, correspondería a algo similar a lo siguiente: 

#ACTI0N SOURCE DEST PROTO DEST SOURCE 

# PORT PORT(S)1 

ACCEPT loc fw tcp 8080 

#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE 


Para aplicar los cambios en Shorevvall, ejecute: 


service shorewall restart 


102.9.1. Re-direccionamiento de peticiones a través de la opción REDIRECT en 
Shorewall. 

La acción REDIRECT en Shorevvall permite redirigir peticiones hacia protocolo HTTP para hacerlas pasar a 
través de Squid. En el siguiente ejemplo las peticiones hechas desde la zona que corresponde a la red local 
serán redirigidas hacia el puerto 8080 del cortafuegos, en donde está configurado Squid configurado como 
Servidor Proxy (Proxy) transparente. 
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#ACTI0N S0URCE 

DEST 

PR0T0 

DEST 


S0URCE 

# 



P0RT 


P0RT(S)1 

ACCEPT loc 

fw 

tcp 

8080 



REDIRECT 

loc 

8080 

tcp 

80 


#LAST LINE -- 

ADD Y0UR 

ENTRIES 

BEF0RE 

THIS 0NE 

-- D0 N0T REM0VE 


102.9.1.1. Exclusión de sitios en Shorewall. 


En el caso de sitios que se quiera excluir de ser utilizados con Squid, es decir, sitios problemáticos, se puede 
configurar en Shorevvall que el acceso sea directo, con una configuración similar a la del siguiente ejemplo, 
donde se excluye de pasar por Squid las peticiones dirigidas a las redes 201.144.108.0/24 (IMSS.gob.mx) y 
200.33.74.0/24 (SAT.gob.mx) y se abre el paso directo desde la red local hacia esta red: 


#ACTI0N SOURCE 

DEST 

PROTO DEST 

SOURCE 


# 


PORT 

P0RT(S)1 


ACCEPT loc 

fw 

tcp 8080 



REDIRECT 

loc 

8080 

tcp 80 

!201.144.108.0/24,200.33.74.0/24 

ACCEPT 

loc 

net:201.144.108.0/24 

all 


ACCEPT 

loc 

net:200.33.74.0/24 

all 


#LAST LINE -- 

ADD Y0UR 

ENTRIES BEFORE THIS ONE 

-- DO NOT REMOVE 



102.9.2. Re-direccionamiento de peticiones a través de iptables. 


Bajo ciertas circunstancias, se requerirá tener salida transparente hacia Internet para ciertos servicios, pero al 
mismo tiempo se necesitará re-direccionar peticiones hacia servicio HTTP para pasar a través del el puerto 
donde escucha peticiones Squid, como proxy en modo transparente, es decir el puerto 8080/tcp, de modo que 
se impida la salida hacia alguna hacia servidores HTTP en el exterior sin que ésta pase antes por Squid. 
Ningún proxy conocido puede funcionar en modo transparente para los protocolos HTTPS, FTP, GOPHER ni 
WAIS, por lo que dichos protocolos tendrán que ser filtrados a través del NAT. 


El re-direccionamiento se hace a través de iptables. Considerando para este ejemplo que la red local se 
accede a través de una interfaz ethl, el siguiente esquema ejemplifica un re-direccionamiento: 


iptables -A INPUT -m state --state NEW -m tcp -p tcp \ 
-i ethl --dport 8080 -j ACCEPT 
iptables -t nat -A PRER0UTING -i ethl -p tcp \ 

--dport 80 -j REDIRECT --to-port 8080 
service iptables save 
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103. Configuración de Squid: Acceso por autenticación 
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103.1. Introducción. 

Es muy útil el poder establecer un sistema de autenticación para poder acceder hacia Internet, pues esto 
permite controlar quienes si y quienes no accederán a Internet sin importar desde que máquina de la red local lo 
hagan. Sera de modo tal que tendremos un doble control, primero por dirección IP y segundo por nombre de 
usuario y contrasena. 

Este documento considera que se ha leído previamente, a detalle y en su totalidad el documento titulado 
«Configuración de Squid: Servidor Proxy,» y que ha configurado exitosamente Squid como servidor proxy. 

103.2. Equipamiento lógico necesario. 

Para poder llevar la cabo los procedimientos descritos en este manual y documentos relacionados, se 
necesitará tener instalado al menos lo siguiente: 

• squid-2.5.STABLE3 

• httpd-2.0.x (Apache) (opcional) 

• openldap-servers-2.2.x (opcional) 

Eligiendo el modulo de autenticación. 

Este manual considera poder autenticar a través de un archivo de texto simple con contrasenas creadas con 
htpasswd o bien a través de un servidor LDAP (una solución más robusta). 

103.2.1. Autenticación a través del módulo LDAP. 

Considerando que se ha configurado exitosamente OpenLDAP como servidor de autenticación, sólo se necesita 
definir el directorio (o subdirectorio) y el servidor LDAP a utilizar. 

La sintaxis utilizada para squid_ldap_auth es la siguiente: 

squid_ldap_auth -b "Directorio-a-utilizar" servidor-ldap-a-utilizar 


Ejemplo: 


squid_ldap_auth -b "ou=People,dc=dominio,dc=tld" 127.0.0.1 


Edite el archivo /etc/squid/squid.conf: 
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vim /etc/squid/squid.conf 


Anada la siguiente configuración, misma que considera que squid_ldap_auth se localiza en 
/usr/Hb/squid/ncsa_auth : 


auth_param basic program /usr/lib/squid/squid_ldap_auth -b "ou=People,dc=dominio,dc=tld" 127.0.0.1 


Lo anterior conecta al directorio dc=su-red-local,dc=tld en el servidor LDAP en 127.0.0.1. 

103.2.2. Autenticación a través del módulo NCSA 

Squid puede utilizar el módulo ncsa_auth, de la NCSA (National Center for Supercomputing Applications) y que 
ya viene incluido como parte del paquete principal de Squid en la mayoría de las distribuciones actuales. Este 
módulo provee una autenticación muy sencilla a través de un archivo de texto simple cuyas contrasenas fueron 
creadas con htpasswd. 

103.2.2.1. Creación del archivo de contrasenas. 

Se requerirá la creación previa de un archivo que contendrá los nombres de usuarios y sus correspondientes 
contrasenas (cifradas). El archivo puede localizarse en cualquier lugar del sistema, con la única condición que 
sea asequible para el usuario squid. 

Debe procederse a crear un archivo /etc/squid/claves'. 

touch /etc/squid/claves 


Salvo que vaya a utilizarse un guión a través del servidor web para administrar las contrasenas, como medida 
de seguridad, este archivo debe tener atributos de lectura y escritura sólo para el usuario squid : 

chmod 600 /etc/squid/claves 
chown squid:squid /etc/squid/claves 


Acontinuación deberemos dar de alta las cuentas que sean necesarias, utilizando el mandato htpassvvd -mismo 
que viene incluido en el paquete httpd-2.0.x-. Ejemplo: 

htpasswd /etc/squid/claves joseperez 


Lo anterior solicitará teclear una nueva contrasena para el usuario joseperez y confirmar tecleando ésta de 
nuevo. Repita con el resto de las cuentas que requiera dar de alta. 

Todas las cuentas que se den de alta de este modo son independientes a las ya existentes en el sistema. Al dar 
de alta una cuenta o cambiar una contrasena lo estará haciendo EXCLUSIVAMENTE para el acceso al servidor 
Proxy. Las cuentas son independientes a las que se tengan existentes en el sistema como serían shell, correo y 
Samba. 

Edite el archivo /etc/squid/squid.conf: 
vim /etc/squid/squid.conf 


Lo siguiente será especificar que programa de autenticación se utilizará. Localice la sección que corresponde a 
la etiqueta auth_param basic program. De modo predeterminado esta opción viene desactivada y carece de 
valores. Considerando que ncsa_auth se localiza en /usr/lib/squid/ncsa_auth, se a ahade lo siguiente: 
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auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/claves 


/usr/lib/squid/ncsa_auth corresponde a la localización de el programa para autenticar y especificando como 
argumento el afchw/o/etc/squid/claves , el cual corresponde al que contiene los nombres de usuario y sus 
respectivas contrasenas. 

103.3. Listas y reglas de control de acceso. 

se debe especificar una lista de control de acceso denominada passvvd la cual se configurará para utilizar de 
modo obligatorio la autenticación para poder acceder a Squid. Debe localizarse la sección de Listas de Control 
deAcceso y anadirse la siguiente línea: 

acl password proxy_auth REQUIRED 


Habiendo hecho lo anterior, debe haber algo similar a lo siguiente en la sección de Listas de Control deAcceso'. 


# 

# Recommended minimum configuration: 
acl all src 0.0.0.0/0 
acl manager proto cache_object 
acl localhost src 127.0.0.1/8 

acl localnet src 192.168.1.0/24 

acl password proxy auth REQUIRED 


Se procede entonces a modificar la regla de control de accesos que ya se tenía para permitir el acceso a 
Internet. Donde antes estaba lo siguiente: 


http_access allow localnet 


Se aríade passvvd, la definición de la Lista de Control de Acceso que requiere utilizar contrasena a la regla 
actual, de modo que quede como se muestra a continuación: 

http_access allow localnet password 


Habiendo hecho lo anterior, la zona de reglas de control de acceso debería quedar del siguiente modo: 


# 

# INSERT YOUR 0WN RULE(S) HERE T0 allow ACCESS FROM YOUR CLIENTS 

# 

http_access allow localhost 

http_access allow localnet password 

http_access deny all 


103.3.1. Finalizando procedimiento. 

Finalmente, sólo bastará recargar la configuración de Squid para que tomen efecto los cambios y se puedan 
realizar pruebas. 

service squid reload 
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104.1. Introducción. 


Denegar el acceso a ciertos Sitios de Red permite hacer un uso más racional del ancho de banda con el que se 
dispone. El funcionamiento es verdaderamente simple y consiste en denegar el acceso a nombres de dominio o 
direcciones de Internet que contengan patrones en común. 

Este documento considera que se ha leído previamente, a detalle y en su totalidad el documento titulado 
«Configuración de Squid: Servidor Proxy,» y que ha configurado exitosamente Squid como servidor proxy. 

104.2. Restricción por expresiones regulares. 

Se debe crear un archivo donde se definirá la lista de expresiones regulares. 

vim /etc/squid/listas/expreg-denegadas 


Esta lista puede contener cualquier expresión regular que se considere sea usualmente utilizadas en las 
direcciones de ciertos sitios. 


adult 

celebri 

mp3 

otrositioindeseable.com 

playstation 

porn 

sex 

sitioindeseable.com 

taringa 

torrent 

warez 

wii 


Esta lista, la cual deberá ser completada con todas las palabras (muchas de estás son palabras obscenas en 
distintos idiomas) y direcciones de Internet que el administrador considere pertinentes, la guardaremos como 
/etc/squid/listas/expreg-denegadas. 

Edite el archivo /etc/squid/squid.conf: 

vim /etc/squid/squid.conf 


Ahada una lista de control, denominada expreg-denegadas, de acceso tipo url_regex (expresiones regulares del 
URL), que defina al la lista en el archivo /etc/squid/listas/expreg-denegadas: 
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acl expreg-denegadas url_regex "/etc/squid/listas/expreg-denegadas" 


Habiendo hecho lo anterior, deberemos tener en la sección de Listas de Control de Acceso algo similar a lo 
siguiente: 


# 

# Recommended minimum configuration: 
acl all src 0.0.0.0/0 
acl manager proto cache_object 
acl localhost src 127.0.0.1/8 
acl localnet src 192.168.1.0/24 
acl password proxy_auth REQUIRED 

acl expreg-denegadas url regex "/etc/squid/listas/expreg-denegadas" 


A continuación especificaremos modificaremos una Regla de Control de Acceso existente agregando con un 
símbolo de / que se denegará el acceso a la Lista de Control deAcceso denominada expreg-denegadas : 

http_access allow localnet !expreg-denegadas 


La regla anterior permite el acceso a la Lista de Control deAcceso denominada localnet, pero le niega el acceso 
a todo lo que coincida con lo especificado en la Lista de Control deAcceso denominada expreg-denegadas. 

Ejemplo aplicado a una Regla de Control de Acceso combinando el método de autenticación explicado en el 
documento Configuración de Squid: Acceso por Autenticación: 

Reglas de control de acceso: denegación de sitios. 

# 

# INSERT YOUR OWN RULE(S) HERE TO allow ACCESS FROM YOUR CLIENTS 

# 

http_access allow localhost 

http_access allow localnet password !expreg-denegadas 

http_access deny all 


104.3. Restricción por expresiones regulares. 

Para restringir el acceso por dominios, se crea un archivo con lista con dominios. 


vim /etc/squid/listas/dominios-denegados 


Los nombres pueden ser nombres de dominio específicos: 


www.facebook.com 
www.twitter.com 
plus.google.com 


O bien puede definirse todo el dominio completo, incluyendo sub-dominios: 


.facebook.com 
.twitter.com 

Nota. 

Si define .dominio.com, es innecesario definir www.dominio.com o mail.dominio.com o ftp.dominio.com, etc., pues todos 
son subdominios de .dominio.com: 


O bien se pueden definir dominios de nivel superior genéricos o geográficos. 
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.co.jp 
.com.cn 
. im 
. tv 

. XXX 


O bien una combinación de todo lo anterior. 


.co.jp 
.com.cn 
.facebook.com 
plus.gogle.com 
. tv 

.twitter.com.im 
. xxx 


Edite el archivo /etc/squid/squid.conf. 
vim /etc/squid/squid.conf 


Aíìada una lista de control, denominada dominios-denegados, de acceso tipo dstdomain (dominios de destino), 
que defina al la lista en el archivo /etc/squid/listas/dominios-denegados. 


acl dominios-denegados dstdomain "/etc/squid/listas/dominios-denegados" 


Anada una regla de control de acceso que deniegue el acceso a sitios que estén incluidos en la lista de 
dominios. 


http_access allow localnet !expreg-denegadas !dominios-denegados 


104.3.1. Permitiendo acceso a sitios inocentes incidentalmente bloqueados. 

Si por ejemplo, el incluir una expresión regular en particular, en la lista de expresiones regulares denegadas, 
afecta incidentalmente el acceso a un sitio de Internet en particular, también puede generarse una lista de 
dominios que serán excluidos de las restricciones. 


Utilice el editor de texto para crear el archivo /etc/squid/dominios-inocentes. 


vim /etc/squid/dominios-inocentes 


El contenido puede ser una lista de dominios o bien dominios de nivel superior, que se considere deban ser 
accedidos por la red local en cualqueir momento y sin restricciones. 


.alcancelibre.org 
. edu 
.edu.mx 

.eluniversal.com.mx 
.gob.mx 

■ gov 

.milenio.com 

■ org 

.org.mx 
.unam.mx 
www.google.com 
www.google.com.mx 
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Este archivo será definido en una Lista de Control deAcceso del mismo modo en que se hizo anteriormente con 
el archivo que contiene dominios y palabras denegadas. 


acl dominios-inocentes dstdomain "/etc/squid/dominios-inocentes" 


Para hacer uso de el archivo, sólo bastará utilizar la expresión ! en la misma línea utilizada para la Regla de 
Control deAcceso establecida para denegar el mismo. 

http_access allow all dominios-inocentes 


La regla anterior especifica que se permitirá el libre acceso, en todo momento, a los dominios incluidos en la 
lista de control de acceso denominada dominios-inocentes. 

104.3.2. Fìnalizando procedimiento. 

Finalmente, sólo bastará recargar la configuración de Squid para que tomen efecto los cambios y se puedan 
realizar pruebas. 


service squid reload 
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105.1. Introducción. 

Denegar el acceso a ciertos tipos de extensiones de archivo permite hacer un uso más racional del ancho de 
banda con el que se dispone. El funcionamiento es verdaderamente simple y consiste en denegar el acceso a 
ciertos tipos de extensiones que coincidan con lo establecido en una Lista de Control deAcceso. 

Este documento considera que se ha leído previamente, a detalle y en su totalidad el documento titulado 
«Configuración de Squid: Servidor Proxy,» y que ha configurado exitosamente Squid como servidor proxy. 

105.2. Definiendo elementos de la Lista de Control de Acceso. 


Lo primero será generar una lista la cual contendrá direcciones de Internet y palabras usualmente utilizadas en 
nombres de ciertos dominios. Ejemplos: 


\.avi$ 
\.mp4$ 
\.mp3$ 
\.mp4$ 

\.mpg$ 

\.mpeg$ 
\.mov$ 
\. ra$ 

\.ram$ 
\. rm$ 

\.rpm$ 

\.vob$ 

\.wma$ 

\,wmv$ 

\.wav$ 

\.doc$ 
\.xls$ 
\.mbd$ 
\.ppt$ 
\.pps$ 

\.ace$ 

\.bat$ 

\.exe$ 
\.lnk$ 
\.pif$ 

\.scr$ 

\.sys$ 
\.zip$ 
\.rar$ 


Esta lista, la cual deberá ser completada con todas las extensiones de archivo que el administrador considere 
pertinentes, la guardaremos como /etc/squid/listas/extensiones. 
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Edite el archivo /etc/squid/squid.conf: 
vim /etc/squid/squid.conf 

Se debe definir una Lista de Control deAcceso que a su vez defina al archivo /etc/squid/listas/extensiones. Esta 
lista la denominaremos como "extensiones". De modo tal, la línea correspondiente quedaría del siguiente modo: 

acl extensiones urlpath„regex "/etc/squid/listas/extensiones" 

Habiendo hecho lo anterior, se debe anadir en la sección de Listas de Control de Acceso algo similar a lo 
siguiente: 


# 

# Recommended minimum configuration: 
acl all src 0.0.0.0/0 

acl manager proto cache_object 
acl localhost src 127.0.0.1/8 
acl localnet src 192.168.1.0/24 
acl password proxy_auth REQUIRED 

acl expregs url_regex "/etc/squid/listas/expregs" 

acl extensiones urlpath regex "/etc/squid/listas/extensiones" 


A continuación especificaremos modificaremos una Regla de Control de Acceso existente agregando con un 
símbolo de / que se denegará el acceso a la Lista de Control deAcceso denominada extensiones'. 

http_access allow localnet lextensiones 


La regla anterior permite el acceso a la Lista de Control deAcceso denominada localnet, pero le niega el acceso 
a todo lo que coincida con lo especificado en la Lista de Control deAcceso denominada extensiones. 


Ejemplo aplicado a una Regla de Control de Acceso combinando el método de autenticación explicado en el 
documento Cómo configurar Squid: Acceso por Autenticación y el de denegación hacia Sitio de Red explicado 
en el documento Cómo configurar Squid: Restricción de acceso a Sitio de Red: 

Reglas de control de acceso: denegación de extensiones. 

# 

# INSERT YOUR OWN RULE(S) HERE TO allow ACCESS FROM YOUR CLIENTS 

# 

http_access allow localhost 

http_access allow localnet password lexpregs lextensiones 

http_access deny all 


105.2.1. Finalizando procedimiento. 

Finalmente, sólo bastará recargar la configuración de Squid para que tomen efecto los cambios y se puedan 
realizar pruebas. 

service squid reload 
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106.1. Introducción. 

Denegar el acceso a ciertos en ciertos horarios permite hacer un uso más racional del ancho de banda con el 
que se dispone. El funcionamiento es verdaderamente simple y consiste en denegar el acceso en horarios y 
días de la semana. 

Este documento considera que se ha leído previamente, a detalle y en su totalidad el documento titulado 
«Configuración de Squid: Servidor Proxy,» y que ha configurado exitosamente Squid como servidor proxy. 

106.2. Procedimientos 

Edite el archivo /etc/squid/squid.conf: 

vim /etc/squid/squid.conf 


La sintaxis para crear Listas de control de acceso que definan horarios, es la siguiente: 


acl [nombre del horario] time [días de la semana] hh:mm-hh:mm 


Los días de la semana se definen con letras, las cuales corresponden a la primera letra del nombre en inglé, de 
modo que se utilizarán del siguiente modo: 

• S - Domingo 

• M - Lunes 

• T - Martes 

• W - Miércoles 

• H-Jueves 

• F - Viernes 

• A - Sábado 


Ejemplo: 


acl semana time MTWHF 09:00-21:00 

Esta regla define a la lista semana , la cual comprende un horario de 09:00 a 21:00 horas desde el Lunes hasta 
el Viernes. 
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Este tipo de listas se aplican en las Reglas de Control de Acceso con una mecánica similar a la siguiente: se 
permite o deniega el acceso en el horario definido en la Llsta de Control de Acceso denominada X para las 
entidades definidas en la Llsta de Control de Acceso denominada Y. Lo anterior expresado en una Regla de 
Control deAcceso , quedaría del siguiente modo: 

http_access [allow | deny] [nombre del horario] [lista de entidades] 


Ejemplo: Se quiere establecer que los miembros de la Lista de Control de Acceso denominada localnet tengan 
permitido acceder hacia Internet en un horario que denominaremos como matutino y que comprende de lunes a 
viernes de 09:00 a 15:00 horas. 

La definción para le horario correspondería a: 

acl localnet src 192.168.1.0/24 
acl matutino time MTWHF 09:00-15:00 


La definición de la Regla de Control deAcceso sería: 
http_access allow matutino localnet 


Lo anterior, en resumen, significa que quienes conformen localnet podrán acceder a Internet de Lunes a Viernes 
de 09:00-15:00 horas. 

106.2.1. Más ejemplos. 

106.2.1.1. Restringiendo el tipo de contenido. 

es posible denegar acceso a cierto tipo de contenido de acuerdo a su extensión. Se requiere una Lista de 
Control de Acceso y una Regla de Control de Acceso 

Si se necesita una lista denominada extensiones que defina a todos los archivos con extensión ,mp3, 
utilizaríamos lo siguiente: 


acl localnet src 192.168.1.0/24 
acl extensiones urlpath_regex \.mp3$ 


Si queremos denegar el acceso al todo contenido con extensión ,mp3, la regla quedaría del siguiente modo: 


http access allow localnet lextensiones 


106.2.1.2. Combinando reglas de tiempo y contenido. 

Si por ejemplo queremos restringir parcialmente el acceso a cierto tipo de contenido a ciertos horarios, pueden 
combinarse distintos tipos de reglas. 


acl localnet src 192.168.1.0/24 
acl matutino time MTWHF 09:00-15:00 
acl extensiones urlpath_regex ,mp3$ 
http_access allow matutino localnet lextensiones 
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La Regla de Control de Acceso anterior especifica acceso permitido, en el horario definido como matutino, a 
quienes integran la Lista de Control deAcceso denominada localnet , para acceder hacia todo tipo de contenido, 
excepto a los contenidos que coincidan con los definidos en la Lista de Control de Acceso denominada 
extensiones. 

106.2.2. Finalizando procedimiento. 

Finalmente, sólo bastará recargar la configuración de Squid para que tomen efecto los cambios y se puedan 
realizar pruebas. 

service squid reload 
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107.1. Introducción. 

107.1.1. Acerca de Squid. 

Squid es un Servidor Intermediario ( Proxy ) de alto desempeno que se ha venido desarrollando desde hace 
varios ahos y es hoy en día un muy popuíar y ampliamente utilizado entre los sistemas operativos como 
GNU/Linux y derivados de Unix®. Es muy confiable, robusto y versátil y se distribuye bajo los términos de la 
Licencia Pública General GNU (GNU/GPL). Siendo equipamiento lógico libre, está disponible el código fuente 
para quien así lo requiera. de modo predeterminado no está incluido el soporte para listas de control de acceso 
basadas sobre direcciones MAC (Media Access Control). 

107.2. Equipamiento lógico necesario. 

107.2.1. Instalación a través de yum. 

A partir de CentOS 5.6 y Red Hat Enterprise Linux 5.6, el paquete de Squid ya incluye soporte para direcciones 
MAC. Solo es necesario ejecutar lo siguiente: 


yum -y install squid 


107.3. Procedimientos 

Este documento considera que se ha leído a detalle el documento «Cómo configurar Squid: Parámetros 
básicos para servidor de intermediación (Proxy)». Se requiere se hayan configurado al menos los siguientes 
parámetros: 

• http_port, ejemplo: http_port 8080 transparent 


• cache_dir, ejemplo: cache dir ufs /var/spool/squid 1024 16 256 


• error_directory, ejemplo: error directory /usr/share/squid/errors/Spanish 

Se requiere además determinar los valores las siguientes variables que deberán ser reemplazadas por datos 
reales: 


• Las direcciones MAC especificadas en los ejemplos. 
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• las direcciones MAC de todos los equipos de la LAN se pueden obtener, si se está realizando las 
operaciones desde un servidor que sirve de puerta de enlace, utilizando el mandato arp con la opción 
-n, es decir: arp -n. 

• Alternativamente, la dirección MAC desde una estación trabajo con Windows se puede obtener la 
dirección MAC utilizando el mandato ipconfig con la opción /all: ipconfig /all 

• Alternativamente, la dirección MAC desde una estación trabajo con Linux se puede obtener la dirección 
MAC utilizando el mandato ifconfig. 

Archivo /etc/squid/listas/macsredlocal. 

Crear un archivo denominado /etc/squid/listas/macsredlocal 


vi /etc/squid/listas/macsredlocal 


Donde el contenido será una lista de direcciones MAC a la cual se aplicarán reglas de control de acceso. 
Ejemplo: 


00 

01 

80 

: 41 

9C 

8A 

00 

08 

A1 

: 84 

18 

AD 

00 

16 

E3 

:9D 

CD 

77 

00 

04 

75 

: AA 

2D 

A1 

00 

19 

D2 

:6B 

41 

45 

00 

13 

10 

:8D 

4A 

EE 

00 

19 

21 

: 14 

9B 

0D 


107.3.1. Archivo /etc/squid/squid.conf 

Se edita el archivo /etc/squid/squid.conf: 


vi /etc/squid/squid.conf 


En éste se debe configurar la lista de control de acceso con un nombre que la identifique y diferencie 
claramente de las demás listas, asignado el tipo de lista como arp. En el siguiente ejemplo, se crea la lista de 
control de acceso denominada macsredlocal de tipo arp y cuyos elementos que la conforman están en el 
archivo /etc/squid/listas/macsredlocal: 


acl macsredlocal arp "/etc/squid/listas/macsredlocal" 


Se crea una regla de control de acceso que permita a los miembros de la lista de control de acceso hacer algo. 
En el siguiente ejemplo se define que está permitido el acceso a la lista macsredlocal: 


http_access allow macsredlocal 


Si se creo alguna lista para limitar el acceso hacia palabras y otra para extensiones, como se describe en los 
documentos « Cómo configurar Squid: Restricción de acceso a Sitios de Red » y «Cómo configurar Squid: 
Restricción de acceso a contenido por extensión », la regla de control de acceso podría quedar de la siguiente 
manera: 


http_access allow macsredlocal !porno lextensiones 
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Si además se creo alguna lista para limitar los horarios de acceso, como se describe en el documento «Cómo 
configurar Squid: Restricción de acceso por horarios », la regla de control de acceso podría quedar de la 
siguiente manera: 


http_access allow matutino macsredlocal Iporno lextensiones 


Cualquier otra forma de utilizar la lista de control de acceso con direcciones MAC dependerá de la imaginación 
del administrador. 

107.4. Iniciar, detener y reiniciar el servicio squid. 

Para ejecutar por primera vez el servicio squid con las configuraciones creadas, utilice: 
service squid start 


Para hacer que los cambios hechos tras modificar la configuración surtan efecto, utilice: 
service squid restart 


Para detener el servicio squid utilice: 
service squid stop 

Para hacer que el servicio de squid esté activo con el siguiente inicio del sistema, en todos los niveles de 
ejecución (2, 3, 4 y 5), se utiliza lo siguiente: 

chkconfig squid on 
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108.1. Introducción. 

Colocar cachés en jerarquía en redes grandes donde hay múltiples servidores proxy, ayuda a ahorrar y 
aprovechar mejor los recursos. 

108.1.1. Procedimientos 

El parámetro cache_peer se utiliza para especificar otros Servidores Proxy con caché en una jerarquía como 
padres o como hermanos. Es decir, definir si hay un Servidor Intermediario adelante o en paralelo. La 
sintaxis básica es la siguiente: 

cache_peer servidor tipo http„port icp_port opciones 


Edite el archivo /etc/squid/squid.conf: 

vim /etc/squid/squid.conf 


Si el caché va a estar trabajando detrás de otro servidor cache, es decir un caché padre y considerando que el 
caché padre tiene una IP 172.16.100.1, escuchando peticiones HTTP en el puerto 8080 y peticiones ICP en 
puerto 3130 (puerto utilizado de modo predeterminado por Squid), especificando que se omita almacenar 
en caché los objetos que ya están presentes en el caché del Servidor Intermediario padre, utilice la siguiente 
línea: 


cache_peer 172.16.100.1 parent 8080 3130 proxy-only 


Cuando se trabaja en redes muy grandes donde existen varios Servidores Intermediarios (Proxy) haciendo 
caché de contenido de Internet, es una buena idea hacer trabajar todos los caché entre si. Configurar caches 
vecinos como sibling (hermanos) tiene como beneficio el que se consultarán estos caches localizados en la 
red local antes de acceder hacia Internet y consumir ancho de banda para acceder hacia un objeto que ya 
podría estar presente en otro caché vecino. 

Ejemplo: Si el caché va a estar trabajando en paralelo junto con otros caches, es decir caches hermanos y 
considerando los caches tienen IP 10.1.0.1, 10.2.0.1 y 10.3.0.1, todos escuchando peticiones HTTP en el 
puerto 8080 y peticiones ICP en puerto 3130, especificando que se omitirá se almacenen en caché los objetos 
que ya están presentes en los caches hermanos, utilice las siguientes líneas: 

cache„peer 10.1.0.1 sibling 8080 3130 proxy-only 
cache_peer 10.2.0.1 sibling 8080 3130 proxy-only 
cache_peer 10.3.0.1 sibling 8080 3130 proxy-only 
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Pueden hacerse combinaciones que de manera tal que se podrían tener caches padres y hermanos trabajando 
en conjunto en una red local. Ejemplo: 


cache_peer 10.0.0.1 parent 8080 3130 proxy-only 
cache_peer 10.1.0.1 sibling 8080 3130 proxy-only 
cache_peer 10.2.0.1 sibling 8080 3130 proxy-only 
cache_peer 10.3.0.1 sibling 8080 3130 proxy-only 


En los casos anteriores, la resolución de nombres se hace de manera local. Si se desea hacer que la resolución 
de nombres se realice en el servidor padre, se puede utilizar algo similar a lo siguiente: 


cache_peer 10.0.0.1 parent 8080 3130 no-query no-digest default 


Para aplicar los cambios en Squid, ejecute: 


service squid reload 
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109.1. Introducción. 

Este documento requiere haber estudiado y comprendido previamente los documentos titulados 

«Configuración básica de Shorevvall », «Configuración de servidor DHCP» y « Configuración de Squid: 
Opciones básicas ». 

109.1.1. ôQuéesVVPAD? 

WPAD (Web Proxy Auto-Discovery protocol) es un método utilizado por los clientes de servidores Proxy para 
localizar el URI de un archivo de configuración, valiéndose de métodos de descubrimiento a través de DHCP y 
DNS. 

Los clientes descargan y ejecutan un archivo, que debe denominarse wpad.dat, utilizando el formato de auto- 
configuración de proxy (PAC, Proxy Auto-Config) disenado por Netscape en 1996 para Netscape Navigator 2.0. 

El borrador del protocolo WPAD, el cual expiró en 1999, fue elaborado por un consorcio de empresas que 
incluían a lnktomi Corp., Microsoft, Real Networks Inc. y Sun Microsystems Inc. A pesar de tratarse de un 
borrador que ha expirado, la mayoría de los navegadores modernos incluyen soporte para este protocolo. 

El anuncio del archivo wpad.dat hacia la red de área local sólo puede hacerse a través de uno de los dos 
siguientes métodos: 

a. Através de un servidor DHCP. 

b. Através de un servidor DNS. 

Se puede utilizar indistintamente uno u otro método. Jamás combine ambos métodos porque los anuncios 
serían ignorados por los navegadores. El método más estándar es el anuncio a través de un servidor 
DHCP. Ambos métodos requieren anadir registros en zonas de reenvío estáticas o dinámicas del servidor de 
DNS utilizado por la red de área local. 

109.1.2. ôPor qué utilizar VVPAD? 

Gracias a que una gran cantidad de sitios de Internet ahora funcionan a través de HTTPS, resulta poco práctico 
configurar servidores intermediarios (prox/es) en modo transparente, pues éstos solo permiten el modo 
transparente para el protocolo HTTP (puerto 80/TCP), obligando a los administradores de redes de área local a 
configurar la salida del protocolo HTTPS (puerto 443/TCP) a través de NAT en el muro cortafuegos. 
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Una forma de enfrentar el problema y poder controlar y filtrar la actividad de los usuarios a través de HTTPS, es 
olvidarse del modo transparente de Squid y utilizar una configuración manual del servidor proxy. Sin embargo, 
ésto representaría una enorme cantidad de trabajo para los administradores de redes de área local, quienes 
tendrían que pasar anfitrión por anfitrión a realizar la configuración. Ésta, sin embargo, se puede automatizar 
anunciando ésta a través de servidores DHCP y servidores DNS, utilizando WPAD. 

Eliminar la configuración de proxy en modo trasparente y utilizar en su lugar el método descrito en este 
documento, combinado con una configuración del proxy-cache que permita el acceso hacia Internet utilizando 
sólo a una lista blanca y el cierre de la salida por NAT hacia el puerto 443, además de permitir bloquear 
servicios como Facebook, permite también bloquear de manera eficiente programas como Ultrasurf y Your 
Freedom. Si además se cierra la salida hacia el puerto 22/TCP y la salida hacia los puertos 53/UDP y 53/TCP, 
también se puede bloquear con éxito a programas como Tor Brovvser. 

109.2. Equipamiento lógico necesario. 

Instale Apache en el servidor que utilice como muro cortafuegos/proxy. 


yum -y install httpd 


Inicie el servicio httpd. 


service httpd start 


Para que el servicio httpd inicie junto con el sistema, ejecute lo siguiente: 


chkconfig httpd on 


109.3. Ajustes en el muro cortafuegos. 

Es necesario abrir en el muro cortafuegos el puerto 80 por TCP (HTTP) para la red de área local. Se asume que 
ya están abiertos los puertos correspondientes al resto de los servicios involucrados, es decir los puertos 67 
(bootps), 68 (bootpc) y 53 (domain) por TCP y UDP. 

109.3.1. Firewalld. 

Firevvalld es muy limitado en el aspecto de control de enmascaramiento de IP. Es un todo o nada. Sin embargo 
permite utilizar reglas de lenguaje enriquecido para configuraciones más específicas. Ejecute las siguientes 5 
líneas. 


firewall-cmd --permanent --zone=public --add-rich-rule= 1 rule family=ipv4 source 
address=172.16.1.0/28 destination address=0.0.0.0/0 port port=80 protocol=tcp reject' 

firewall-cmd --permanent --zone=public --add-rich-rule= 1 rule family=ipv4 source 
address=172.16.1.0/28 destination address=0.0.0.0/0 port port=20-21 protocol=tcp 
reject' 

firewall-cmd --permanent --zone=public --add-rich-rule= 1 rule family=ipv4 source 
address=172.16.1.0/28 destination address=0.0.0.0/0 port port=442 protocol=tcp reject' 

firewall-cmd --permanent --zone=public --add-rich-rule= 1 rule family=ipv4 source 
address=172.16.1.0/28 destination address=0.0.0.0/0 port port=53 protocol=tcp reject' 

firewall-cmd --permanent --zone=public --add-rich-rule= 1 rule family=ipv4 source 
address=172.16.1.0/28 destination address=0.0.0.0/0 port port=53 protocol=udp reject' 
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Ejecute lo siguiente para aplicar los cambios: 
firewall-cmd --reload 

Debo hacer énfasis en que Shorevvall es una solución más precisa, sencilla y robusta. Firevvalld puede hacer 
muy complejo operaciones que con otras alternativas son más simples. 

109.3.2. Shorevvall. 

Edite el archivo el archivo /etc/shorewall/rules: 

vim /etc/shorewall/rules 


Elimine la configuración de proxy transparente deshabilitando las reglas correspondientes a la salida desde la 
zona correspondiente a la red de área local hacia los puertos 20/TCP (ftp-data), 22/TCP (ssh), 21/TCP (ftp), 
53/TCP (dns), 53/UDP (dns) y 443/TCP (https) en la zona correspondiente a la red pública y la regla que 
redirige hacia el puerto 8080/TCP (webcache) las peticiones desde la red de área local hacia el puerto 80/TCP 
(http): 


#ACTI0N SOURCE 

DEST 

PR0T0 

DEST 

S0URCE 

# 

#ACCEPT loc 

net 

tcp 

P0RT 

20,21,443 

P0RT(S)1 

#ACCEPT loc 

net 

tcp 

22 


#ACCEPT loc 

net 

tcp 

53 


#ACCEPT loc 

net 

udp 

53 


#REDIRECT 

loc 

8080 

tcp 80 



# 


Si necesita acceder hacia servidores SSFI legítimos que utilicen el puerto 22/TCP, ahada una regla similar a la 
mostrada en el siguiente ejemplo, en la cual se asume que el servidor SSH involucrado tiene dirección IP 
hipotética equivalente a 200.1.2.3: 


#ACTI0N S0URCE 

DEST 

PROTO 

DEST 

SOURCE 

# 

#ACCEPT loc 

net 

tcp 

PORT 

20,21,443 

PORT(S)1 

#ACCEPT loc 

net 

tcp 

22 


#ACCEPT loc 

net 

tcp 

53 


#ACCEPT loc 

net 

udp 

53 


#REDIRECT 

# 

ACCEPT loc 

loc 

8080 

tcp 80 


net:200 

.1.2.3 

tcp 22 



Si necesita acceder hacia servidores DNS legítimos, anada un par de reglas similares a las mostradas en el 
siguiente ejemplo, en la cual se asume que el servidor DNS involucrado tiene dirección IP hipotética equivalente 
a 8.8.8.8: 


#ACTI0N SOURCE 

DEST PROTO 

DEST 


SOURCE 

# 

#ACCEPT loc 

net tcp 

PORT 

20,21, 

443 

PORT(S)1 

#ACCEPT loc 
#ACCEPT loc 
#ACCEPT loc 
#REDIRECT 

# 

ACCEPT loc 

net tcp 

net tcp 

net udp 

loc 8080 

22 

53 

53 

tcp 

80 


net:200.1.2.3 

tcp 

22 


ACCEPT loc 

net:8.8.8.8 

tcp 

53 


ACCEPT loc 

net:8.8.8.8 

udp 

53 
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Otra solución sería configurar un servidor DNS dentro de la red de área local para poder prescindir de abrir la 
salida hacia los puertos 53/TCP y 53/UDP. 


Asumiendo que Squid escucha peticiones en el puerto 8080 y que sólo se permitirán conexiones desde la red 
de área local, la regla que habilita el acceso desde la red de área local hacia los puertos 8080 (webcache) y 80 
(http) del muro cortafuegos correspondería a algo similar a lo siguiente: 


#ACTI0N 

S0URCE 

DEST PR0T0 

DEST 


S0URCE 

# 



P0RT 


P0RT(S)1 

#ACCEPT 

loc 

net tcp 

20,21,80,443 


#ACCEPT 

loc 

net tcp 

22 



#REDIRECT 

■U 

loc 8080 

tcp 

80 


tt 

ACCEPT 

loc 

net:200.1.2.3 

tcp 

22 


ACCEPT 

loc 

net:8.8.8.8 

tcp 

53 


ACCEPT 

loc 

net:8.8.8.8 

udp 

53 


ACCEPT 

loc 

net:8.8.4.4 

tcp 

53 


ACCEPT 

loc 

net:8.8.4.4 

udp 

53 


ACCEPT 

loc 

fw tcp 

80,8080 




Ejecute lo siguiente para aplicar los cambios: 


service shorewall restart 


109.3.3. Servicio iptables. 

Asumiendo que Squid escucha peticiones en la puerto 8080 y que la red de área local corresponde a 
172.16.1.0/28, ejecute lo siguiente para abrir los puertos 80/TCP (http) y 8080/TCP (webcache) del servidor y 
cerrar la salida desde la red de área local hacia los puertos 20 (ftp-data), 21 (ftp), 22 (ssh) y 443 (https) en el 
exterior: 


iptables -A INPUT -s 172.16.1.0/28 -m state --state NEW \ 
-m tcp -p tcp --dport 80 -j ACCEPT 
iptables -A INPUT -s 172.16.1.0/28 -m state --state NEW \ 
-m tcp -p tcp --dport 8080 -j ACCEPT 
iptables -A F0RWARD -p tcp --dport 20:21 -j DR0P 

iptables -A F0RWARD -p tcp --dport 22 -j DR0P 

iptables -A F0RWARD -p tcp --dport 443 -j DR0P 
iptables -A F0RWARD -p tcp --dport 53 -j DR0P 

iptables -A F0RWARD -p udp --dport 53 -j DR0P 


Ejecute lo siguiente para guardar los cambios: 

service iptables save 


O bien edite el archivo /etc/sysconfig/iptables: 


vim /etc/sysconfig/iptables 


Y anada lo siguiente: 


-A INPUT -s 172.16.1.0/28 -m state --state 
-A INPUT -s 172.16.1.0/28 -m state --state 
-A F0RWARD -p tcp --dport 20:21 -j DROP 

-A F0RWARD -p tcp --dport 22 -j DR0P 

-A F0RWARD -p tcp --dport 443 -j DROP 
-A F0RWARD -p tcp --dport 53 -j DR0P 

-A F0RWARD -p udp --dport 53 -j DR0P 


NEW -m tcp -p tcp --dport 80 -j ACCEPT 
NEW -m tcp -p tcp --dport 8080 -j ACCEPT 
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Y reinicie el servicio iptables: 


service iptables restart 


109.4. Procedimientos. 


Este documento asume que se tiene configurado un servidor proxy-cache con Squid, un servidor DHCP y un 
servidor DNS. Por favor, cambie todos los valores resaltados en el procedimiento por aquellos que 
correspondan al escenario de su red de área local. 

109.4.1. Resolución del nombre de anfitrión en el anfitrión local. 

Es importante que el nombre de anfitrión que utilizarán los clientes para acceder al archivo wpad.dat esté 
resuelto en el anfitrión local del servidor. 


Edite el archivo /etc/hosts: 

vim /etc/hosts 


Asumiendo que la dirección IP del anfitrión es 172.16.1.1 y que el dominio de la red de área local es red- 
local.net, anada la siguiente línea resaltada en negrita y respetando el resto del contenido existente en 
este archivo: 


127.0.0.1 
: : 1 

192.168.70.20 

172.16.1.1 

172.16.1.1 


localhost.localdomain localhost 
localhostô.localdomain6 localhostô 

m20.alcancelibre.org.mx m20 

servidor.red-local.net servidor 

wpad.red-local.net wpad 


Modifique lo que sea necesario para que ajuste a la configuración utilizada en su red de área local. 

109.4.2. Resolución del nombre de anfitrión en servidor DNS. 

A fin de que la red de área local también pueda resolver este nombre, se requiere también aríadir un registro 
tipo A en la zona de DNS correspondiente a la zona de reenvío utilizada para resolver los nombres de la red de 
área local. 


Identifique primero si utiliza una zona de reenvío dinámica o estática. Para este fin, edite el archivo 

/etc/named.conf: 


vim /etc/named.conf 


Localice la zona de reenvío que corresponda a la red de área local. 


Una zona dinámica almacena sus archivos de zona dentro del sub-directorio /var/named/dynamic y permite 
realizar actualizaciones de los registros de la zona a través de una firma digital. Ejemplo: 


zone "red-local.net" { 
type master; 

file "dynamic/red-local .net.zone"; 
allow-update { key "rndc-key"; }; 

} 
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Una zona estática almacena sus archivos de zona dentro de una ruta relativa al directorio /var/named o bien el 
sub-directorio /var/named/data y prohibe realizar actualizaciones de los registros de la zona. Ejemplo: 


zone "red-local.net" { 
type master; 

file "red-local.net. zone"; 
allow-update { none; }; 


109.4.2.1. Resolver nombre de anfitrión en servidor DNS con zona dinámica. 

Si se trata de una zona dinámica, ejecute nsupdate para conectarse al servidor DNS: 


nsupdate -k /etc/rndc.key 


Desde el intérprete de mandatos de nsupdate, ejecute lo siguiente para anadir el registro necesario: 


server 127.0.0.1 

update add wpad.red-local.net. 86400 A 172.16.1.1 

send 

quit 


Utilizando este procedimiento, es innecesario reiniciar el servicio named. 

109.4.2.2. Resolver nombre de anfitrión en servidor DNS con zona estática. 

Se requiere configurar primero el servidor DNS para que incluya un registro que resuelva el nombre vvpad.red- 
local.net el cual será utilizado para hacer el anuncio del URI del archivo wpad.dat a través del servidor DHCP. 

Asumiendo que tiene configurado y funcionando un servidor DNS con una zona estática que resuelve los 
nombres de anfitrión y direcciones IP de la red de área local, edite el archivo de zona correspondiente: 


vim /var/named/red-local.net.zone 


Cambie el número de serie de la zona y aríada sólo el siguiente registro en la zona de reenvío en el DNS 
utilizado por la red de área local. En el ejemplo se asume que el servidor HTTP que hospeda al archivo 
wpad.dat corresponde a la dirección IP 172.16.1.1: 

wpad IN A 172.16.1.1 


Reinicie el servicio named. 


service named restart 

109.4.3. Generar archivo wpad.dat. 

Genere el directorio /var/www/wpad con permisos de acceso y escritura para usuario y de acceso para grupo y 
otros (rwxr-xr-x): 

mkdir -m 0755 /var/www/wpad 
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Cualquier error en la sintaxis hará que el archivo sea imposible de utilizar. Puede descargar un archivo plantilla 
desdeAlcanceLibre.org ejecutando lo siguiente: 


wget http://www.alcancelibre.org/linux/secrets/wpad.dat \ 
-0 /var/www/wpad/wpad.dat 


Es indispensable que el archivo /var/www/wpad/wpad.dat tenga permisos de lectura para todos, de otro modo 
será imposible compartirlo a través del servicio httpd. 

chmod a+r /var/www/wpad/wpad.dat 


109.4.4. Personalizar el archivo wpad.dat. 

Edite el archivo /var/www/wpad/wpad.dat y modifique lo que sea necesario para que ajuste a la configuración 
utilizada en su red de área local. 


vim /var/www/wpad/wpad.dat 


Asumiendo que la red de área local corresponde a 172.16.1.0/28 (172.16.1.0/255.255.255.240) y que Squid 
está funcionando en el anfitrión denimonado servidor.red-local.net, escuchando peticiones en el puerto 8080, 
anada el siguiente contenido: 


function FindProxyForURL(url, host) 

{ 

if ( 

ÌSlnNet(host, "172.16.1.0", "255.255.255.240") 

II isInNet(host, "127.0.0.0", "255.0.0.0") 

I! shExpMatch(host, "172.16.1.*") 
ii shExpMatch(host, "127.*" ) 

|| shExpMatch(host, "localhost") 

II shExpMatch(host, "*. red-local.net") 

| isPlainHostName(host) 
l| dnsDomainIs(host, ".red-local.net") 

) { 

return "DIRECT"; 

} 

else 

{ 

return "PROXY servidor.red-local.net :8080"; 

} 

} 


Guarde el archivo y cierre el editor de texto. 

109.4.5. Configuración de Apache. 

Genere el archivo /etc/httpd/conf.d/wpad.conf: 

vim /etc/httpd/conf.d/wpad.conf 


Afíada el siguiente contenido: 
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NameVirtualHost *:80 
<VirtualHost *:80> 

ServerName wpad. 

ServerAlias wpad 
DocumentRoot /var/www/wpad 
ErrorLog logs/wpad-error_log 
CustomLog logs/wpad-access_log combined 
<Directory "/var/www/wpad"> 

AddType application/x-ns-proxy-autoconfig .dat 
Directorylndex wpad.dat 
<IfModule mod_authz_core.c> 

Require local 
Require ip / 

</IfModule> 

<IfModule !mod_authz_core.c> 

Order Deny,Allow 
Deny from all 

Allow frorn 127.0.0.0/8 / 

</IfModule> 

</Directory> 

</VirtualHost> 


Modifique lo que sea necesario para que ajuste a la configuración utilizada en su red de área local. 

A fin de evitar problemas con algunos navegadores, se recomienda que éste sea el único anfitrión virtual 
en el servidor o bien que cuando menos sea el anfitrión virtual predeterminado. 


Recargue o reinicie el servicio httpd. 


service httpd reload 


109.4.6. Anuncio del archivo wpad.dat a través de DHCP. 

109.4.6.1. Configuración de servidor DHCP. 

Asumiendo que tiene configurado y funcionando un servidor DHCP para gestionar la asignación de las 
direcciones IP utilizadas por la red de área local —como se describe en el documento titulado «Configuración 
de servidor DHCP », edite el archivo /etc/dhcp/dhcpd.conf: 

vim /etc/dhcp/dhcpd.conf 


Ahada en la configuración del servidor DHCP, las dos siguientes opciones, justo debajo de la configuración de 
los servidores NTP: 


option ip-forwarding off; 

option domain-name "red-local.net"; 

option ntp-servers 0.pool.ntp.org, 1. pool. ntp.org, 2. pool. ntp.org, 3. pool.ntp.org; 

option wpad-url code 252 = text; 

option wpad-url "http://wpad. red-local. net/wpad.dat\n"; 

include "/etc/rndc.key"; 

zone localdomain. { 

primary 127.0.0.1; 
key rndc-key; 

} 


Reinicie el servicio dhcpd. 
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service dhcpd restart 


Recuerde que este método jamás debe combinarse con el del anuncio del archivo wpad.dat a través de servidor 
DNS. 

109.4.7. Anuncio del archivo wpad.dat a través de servidor DNS con zona estática. 

Se requiere configurar el servidor DNS para que incluya dos registros, uno que resuelva el nombre wpad.red- 
local.net y el otro que indique el URI del archivo wpad.dat. 

Asumiendo que tiene configurado y funcionando un servidor DNS con una zona estática que resuelve los 
nombres de anfitrión y direcciones IP de la red de área local, edite el archivo de zona correspondiente: 

vim /var/named/red-local.net.zone 


Cambie el número de serie de la zona y afiada los siguientes dos registros en la zona de reenvío en el DNS 
utilizado por la red de área local. En el ejemplo se asume que el servidor HTTP que hospeda al archivo 
wpad.dat corresponde a la dirección IP 172.16.1.1: 


wpad 

IN 

A 

172.16.1.1 

i 

IN 

TXT 

"service: wpad:!http://wpad.red-local.net:80/wpad.dat" 


Reinicie el servicio named. 


service named restart 


Recuerde que este método jamás debe combinarse con el del anuncio del archivo wpad.dat a través de servidor 
DHCP. 

109.4.8. Anuncio del archivo wpad.dat a través de servidor DNS con zona dinámica. 

Si se trata de una zona de reenvío dinámica, ejecute nsupdate para conectarse al servidor DNS: 


nsupdate -k /etc/rndc.key 


Desde el intérprete de mandatos de nsupdate, ejecute lo siguiente para aiìadir los registros necesarios: 


server 127.0.0.1 

update add wpad.red-local.net. 86400 A 172.16.1.1 

update add red-local.net. 86400 TXT "service: wpad:!http://wpad.red-local.net:80/wpad.dat" 

send 

quit 


Utilizando este último procedimiento, es innecesario reiniciar el servicio named. 


Recuerde que este método jamás debe combinarse con el del anuncio del archivo wpad.dat a través de servidor 
DHCP. 

109.5. Comprobaciones. 
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Si todo lo anterior concluyó sin errores, sólo resta verificar que la configuración de los anfitriones con VVindovvs. 
Vaya a Opciones de Internet -» Conexiones -► Configuración LAN y verifique que esté habilitada la casilla 
Autodetectar configuración de proxy. En algunos casos es posible que se tenga que definir también el URI del 
archivo de configuración ( http://wpad.red-local.net/wpad.dat ). 




General 


Seguridad 


Privacidad 


Contenido 


iViiiívnriinii'iiriithitTaiTit'iTii^íiiri 


n< 


Configuración automática 

La configuración automática puede invalidar a la manual. Para evitar 
que esto ocurra, deshabilite Ia configuración automática. 

0 Detectar la configuración automáticamente 

□ Usar scripts de configuración automática 


Servidor proxy 


ep 

urar 


I 


ar... 


□ 


Usar un servidor proxy para la LAN (esta configuración no se 
aplicará a conexiones de acceso telefónico ni VPN). 


Aceptar Cancelar 


Configuración de la red de àrea local (LAN) 

La configuración de LAN no se aplica a las 
conexiones de acceso telefónico. Elija 
Solucior Configuración, más arriba, para configurar el 
acceso telefónico. 


Aceptar 


Configuración de LAN 


Cancelar 


on 


Opciones de Internet - Configuración de Proxy. 

Para los anfitriones con GNU/Linux con GNOME 2 como escritorio sólo hay que establecer Configuración 
automática del Proxy en las Preferencias de Proxy de la red. Deje vacío el campo de URL de configuración 
automática para forzar la detección del archivo wpad.dat anunciado. 
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Configuración de Proxy de la red en GNOME 2. 

También pude configurar las opciones de cada navegador que lo requiera para que auto-detecte la 
configuración del servidor proxy. 
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Opciones de Firefox - autodetectar configuración del proxy. 
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110. Instalación y configuración de la herramienta de 
reportes Sarg. 

Autor: Joel Barrios Duehas 

Correo electrónico: darkshram@gmail.com 
sitio de Red: http://www.alcancelibre.org/ 


Creative Commons Reconocimiento-NoComercial-Compartirlgual 2.1 


© 1999-2016 Joel Barrios Duenas. Usted es libre de copiar, distribuir y comunicar públicamente la obra y hacer obras derivadas bajo las condiciones siguientes: a) 
Debe reconocer y citar al autor original. b) No puede utilizar esta obra para fines comerciales. c) Si altera o transforma esta obra o genera una obra derivada, sólo 
puede distribuir la obra generada bajo una licencia idéntica a ésta. Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. 
Alguna de estas condiciones puede no aplicarse si se obtiene el permiso del titular de los derechos de autor. Los derechos derivados de usos legítimos u otras 
limitaciones no se ven afectados por lo anterior. La información contenida en este documento y los derivados de éste se proporcionan tal cual son y los autores no 
asumirán responsabilidad alguna si el usuario o lector hace mal uso de éstos. 


110.1. Introducción. 

Sarg (Squid Analysis Report Generator) es la más completa y fácil de utilizar herramienta para la generación de 
reportes a partir de las bitácoras de Squid. Permite ver con detalle la actividad de todos los equipos y/o 
usuarios dentro de la red de área local, registrada en la bitácora de Squid. 

URL: http://sarg.sourceforge.net/. 

110.2. Equipamiento lógico necesario. 

110.2.1. Instalación a través de yum. 

ALDOS y Fedora™ ya incluyen lo necesario para realizar la instalación del paquete necesario. Si utiliza 
CentOS o Red Hat™ Enterprise Linux, puede utilizar el almacén YUM de Alcance Libre para servidores en 
producción, descargando el archivo http://www.alcancelibre.org/al/server/AL-Server.repo dentro del 
directorio /etc/yum.repos.d/: 


wget -N http://www.alcancelibre.org/al/server/AL-Server.repo -0 /etc/yum.repos.d/AL- 
Server. repo 


Examine el contenido del archivo /etc/yum.repos.d/AL-Server.repo: 


vi /etc/yum.repos.d/AL-Server.repo 


El contenido debe ser el siguiente: 


[AL-Server] name=AL Server para Enterprise Linux $releasever 
mirrorlist=http://www.alcancelibre.org/al/el$releasever/al-server gpgcheck=l 
gpgkey=http://www.alcancelibre.org/al/AL-RPM-KEY 


Salga del editor de texto y ejecute lo siguiente para instalar lo necesario: 


yum -y install sarg httpd 


110.3. Procedimientos. 

Inicie y habilite Apache si es necesario: 
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systemctl start httpd && systemctl enable httpd 

Verifique en la configuración de Sarg la ruta del archivo de registro, número de reportes a almacenar y la 
codificación de los reportes. 

Edite con vi el archivo /etc/sarg/sarg.conf: 

vi /etc/sarg/sarg.conf 


Alrededor de la línea 8, verifique el valor de accessjog sea /var/log/squid/access.log: 


# TAG: access log file 

# Where is the access.log file 

# sarg -l file 

# 

#access_log /usr/local/squid/var/logs/access.log 

access_log /var/log/squid/access.log 


Alrededor de la línea 232, localice la cadena lastlog 0. 


# TAG: lastlog n 

# How many reports files must be keept in reports directory. 

# The oldest report file will be automatically removed. 

# 0 - no limit. 

# 

# lastlog 0 


Elimine la almohadilla la línea que contiene lastlog 0 y cambie el 0 por el número de reportes que se desea 
mantener. Si define el valor 30 sólo se conservarán los 30 últimos reportes y todos los reportes anteriores se 
irán eliminando automáticamente. 


# TAG: lastlog n 

# How many reports files must be keept in reports directory. 

# The oldest report file will be automatically removed. 

# 0 - no limit. 

# 

lastlog 30 


Si se omite definir un valor adecuado para la opción lastlog, los reportes de almacenarán en /var/www/sarg/ y 
pueden implicar una cantidad considerable de datos. Si decide omitir un valor para esta opción, periódicamente 
se tendrá que ingresar a los subdirectorios de /var/www/sarg/, principalmente el subdirectorio daily, para 
eliminar de manera manual los reportes antiguos o que sean de poca relevancia, a fin de evitar se agote el 
espacio de almacenamiento en el sistema de archivos. 

Alrededor de la línea 438, localice la cadena de texto charset Latinl. 
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# TAG: 

# 

(8bit) 

# 

# 

# 

# 

# 

# 

# 

# 

# 

# 

# 

# 

# 

# 

# 

# 

# 


charset name 

ISO 8859 is a full series of 10 standardized multilingual single-byte coded 

graphic character sets for writing in alphabetic languages 
You can use the following charsets: 


Latinl 

- West European 

Latin2 

- East European 

Latin3 

- South European 

Latin4 

Cyrillic 

Arabic 

Greek 

Hebrew 

- North European 

Latin5 

Latin6 

Windows-1251 

Japan 

Koi8-r 

UTF-8 

- Turkish 


#charset Latinl 


Elimine la almohadilla y reemplace la cadena de texto con charset UTF-8. 


# TAG: 

# 

(8bit) 

# 

# 

# 

# 

# 

# 

# 

# 

# 

# 

# 

# 

# 

# 

# 

# 

# 


charset name 

ISO 8859 is a full series of 10 standardized multilingual single-byte coded 

graphic character sets for writing in alphabetic languages 
You can use the following charsets: 


Latinl 

- West European 

Latin2 

- East European 

Latin3 

- South European 

Latin4 

Cyrillic 

Arabic 

Greek 

Hebrew 

- North European 

Latin5 

Latin6 

Windows-1251 

Japan 

Koi8-r 

UTF-8 

- Turkish 


charset UTF-8 


Edite el archivo /etc/httpd/conf.d/sarg.conf: 

vi /etc/httpd/conf.d/sarg.conf 

Localice la línea allow from 127.0.0.1, la cual define que solo se puede acceder hacia el directorio /sarg/ desde 
127.0.0.1 (es decir, solo puede ser accedido como http://127.0.0.1/sarg/). 
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Alias /sarg /var/www/sarg 
<Directory /var/www/sarg> 

Directorylndex index.html 
<IfModule modauthzcore.c> 

# Apache 2.4 
Require local 

</IfModule> 

<IfModule !modauthzcore.c> 

# Apache 2.2 
Order Deny,Allow 
Deny from all 
Allow from 127.0.0.1 

</IfModule></Directory> 


Anada lo necesario para permitir el acceso desde su red de área local. 


Alias /sarg /var/www/sarg 
<Directory /var/www/sarg> 

Directorylndex index.html 
<IfModule modauthzcore.c> 

# Apache 2.4 
Require local 

Require ip 172.16.1.0/28 

</IfModule> 

<IfModule !modauthzcore.c> 

# Apache 2.2 
Order Deny,Allow 
Deny from all 

Allow from 127.0.0.1 172.16.1.0/28 

</IfModule> 

</Directory> 


Defina que el acceso hacia el directorio /sarg/ (que en adelante podrá ser accedido como http://proxy.red- 
local.net/sarg/ o bien http://172.16.1.1/sarg/) se permitirá solo a usuarios autorizados que autenticarán a través 
del archivo /var/www/claves-sarg. 


Alias /sarg /var/www/sarg 
<Directory /var/www/sarg> 

Directorylndex index.html 
<IfModule modauthzcore.c> 

# Apache 2.4 
Require local 

Require ip 172.16.1.0/28 

</IfModule> 

<IfModule !modauthzcore.c> 

# Apache 2.2 
Order Deny,Allow 
Deny from all 

Allow from 127.0.0.0/8 172.16.1.0/28 

</IfModule> 

AuthName "Solo usuarios autorizados." 
AuthType Basic 
require valid-user 
AuthUserFile /var/www/claves-sarg 

</Directory> 


Genere el inodo archivo /var/www/claves-sarg: 


touch /var/www/claves-sarg 


Cambie los permisos de este archivo para que sólo tenga lectura y escritura para la clase del usuario: 
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chmod 0600 /var/www/claves-sarg 

Cambie el propietario del archivo al usuario apache y grupo apache: 
chown apache:apache /var/www/claves-sarg 

Utilice htpasswd con /var/www/claves-sarg argumento para crear el usuario virtual administrador y asignar a 
éste una contrasena que sólo deberá conocer el administrador del servidor: 

htpasswd /var/www/claves-sarg administrador 

Ejecute lo siguiente en Centos 7 y Red Hat™ Enterprise Linux 7 y versiones posteriores de éstos para aplicar 
los cambios en el servicio httpd. 

systemctl reload httpd 

Ejecute lo siguiente en Centos 6 y Red Hat™ Enterprise Linux 6 y versiones anteriores de éstos para aplicar los 
cambios en el servicio httpd. 

service httpd reload 

Ejecute sarg para generar primer reporte: 

sarg 

Podrá consultar este reporte en la dirección http://servidor.red-local.net/sarg/ONE-SHOT/ o bien 
httpj/l 72.16.1.1/sarg/ONE-SHO T/. 

Podrá ver un reporte generado automáticamente todos los días en la dirección http://servidor.red- 
local.net/sarg/daily/ o bien http://172.16. 1.1/sarg/daily/. 
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111. Configuración de OpenVPN. 

Autor: Joel Barrios Duehas 

Correo electrónico: darkshram@gmail.com 
sitio de Red: http://www.alcancelibre.org/ 


Creative Commons Reconocimiento-NoComercial-Compartirlgual 2.1 


© 1999-2016 Joel Barrios Duenas. Usted es libre de copiar, distribuir y comunicar públicamente la obra y hacer obras derivadas bajo las condiciones siguientes: a) 
Debe reconocer y citar al autor original. b) No puede utilizar esta obra para fines comerciales. c) Si altera o transforma esta obra o genera una obra derivada, sólo 
puede distribuir la obra generada bajo una licencia idéntica a ésta. Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. 
Alguna de estas condiciones puede no aplicarse si se obtiene el permiso del titular de los derechos de autor. Los derechos derivados de usos legítimos u otras 
limitaciones no se ven afectados por lo anterior. La información contenida en este documento y los derivados de éste se proporcionan tal cual son y los autores no 
asumirán responsabilidad alguna si el usuario o lector hace mal uso de éstos. 


111.1. Introducción. 

111.1.1. Acerca de OpenVPN. 

OpenVPN es una solución de conectividad basada sobre equipamiento lógico ( software)\ SSL(Secure Sockets 
Layer) VPN (Virtual Private Network o red virtual privada), OpenVPN ofrece conectividad punto-a-punto con 
validación, jerárquica de usuarios y host conectados remotamente, resulta una muy buena opción en 
tecnologías Wi-Fi (redes inalámbricas EEI 802.11) y soporta un amplio tipo configuraciones. 

URL: http://openvpn.net 

111.1.2. Breve explicación de lo que se logrará con este documento. 

Este documento describe la configuración de una VPN tipo Intranet. 

Este tipo de redes es creado entre una oficina central (servidor) y una o varias oficinas remotas (clientes). El 
acceso viene del exterior. Se utiliza este tipo de VPN cuando se necesita enlazar a los sitios que son parte de 
una companía, en este caso se compone de un servidor central para muchos clientes VPN. 
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Servidor 

VPN 



LAN = 192.168.2 200/24 
Tun = 10.10.0.1 


Ttmel 

VPN CIBERCAFE 

1 




LAN « 10.6 1.120/24 
Tun = 10.10.0 7 


OFICINA 3 
b1 


LAN - 192.168.3 10/24 
Tun = 10.10.0.2 


<é^> 


LAN - 192.168 6.12/24 
Tun = 10.10.0.5 


LAN = 192.168.4 12/24 LAN = 192.168 5.12/24 
Tun = 10.10.0.3 Tun = 10.10.0.4 


Servidor de Pasarela OpenVPN con clientes (Windows/Linux) remotos 
El servidor VPN hace de pasarela para que todos los clientes OpenVPN. 

111.2. Instalación del equipamiento lógico necesario. 

111.2.1. Instalación en CentOS. 

Como el usuario root, desde unaterminal, descargue el archivo AL-Server.repo: 

wget -0 /etc/yum.repos.d/AL-Server.repo \ 

http://www.alcancelibre.org/al/server/AL-Server.repo 


Instalar los paquetes necesarios: 

yum -y install openvpn easy-rsa shorewall 


111.3. Procedimientos. 


Si fuera necesario, cambiarse al usuario root utilizando el siguiente mandato: 


su -1 


Cambie al directorio /etc/openvpn: 
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cd /etc/openvpn/ 


NOTA: Todos los procedimientos necesarios para configurar un servidor con OpenVPN se realizan sin salir de 
/etc/openvpn/. Por favor, evite cambiar de directorio hasta haber finalizado los procedimientos descritos en 
este documento. 


A fin de facilitar los procedimientos, se copiarán los archivos openssl-l.O.O.cnf, vvhichopensslcnf, pkitool y 
vars — que se localizan dentro del directorio /usr/share/easy-rsói/2.0/— dentro del directorio /etc/openvpn/: 


cp /usr/share/easy-rsa/2.0/openssl-1.0.0.cnf ./ 
cp /usr/share/easy-rsa/2.0/whichopensslcnf ./ 
cp /usr/share/easy-rsa/2.0/pkitool ./ 
cp /usr/share/easy-rsa/2.0/vars ./ 


Utilizar el editor de texto y abrir el archivo /etc/openvpn/vars: 


vi /etc/openvpn/vars 


De este archivo sólo hay que editar las últimas líneas, que corresponden a algo similar a lo siguiente: 


export KEY_SIZE=2048 

export KEY_COUNTRY="US" 

export KEY_PROVINCE="CA" 

export KEY_CITY="SanFrancisco" 

export KEY_ORG="Fort-Funston" 

export KEY_EMAIL="me@myhost.mydomain" 

export KEY_EMAIL=mail@host.domain 

export KEY_CN=changeme 

export KEY_NAME=chanegme 

export KEY_OU=changeme 


Hay que establecer el certificado a 2048 bits para mayor seguridad, reemplazar los valores predeterminados por 
los que se consideren pertinentes —sin utilizar acentos o tildes— y eliminar la línea repetida que define el 
correo electrónico predeterminado. Ejemplo: 


export KEY_SIZE=2048 

export KEY_C0UNTRY="MX" 

export KEY_PROVINCE="DF" 

export KEY_CITY="Mexico" 

export KEY_0RG="Mi Empresa, S.A. de C.V." 

export KEY_EMAIL="fulanito@mi-dominio.com" 

export KEY_CN=servidor.mi-dominio.com 

export KEY_NAME=servidor 

export KEY_OU=Sistemas 


Se requiere ejecutar del siguiente modo el archivo /etc/openvpn/vars a fin de que carguen las variables de 
entorno que se acaban de configurar. 


source /etc/openvpn/./vars 


Cada vez que se vayan a generar nuevos certificados, debe ejecutarse el mandato anterior a fin de que 
carguen las variables de entorno definidas. 


Se ejecuta el archivo /usr/share/easy-rsa/2.0/clean-all a fin de limpiar cualquier firma digital que 
accidentalmente estuviera presente. 


sh /usr/share/easy-rsa/2.0/clean-all 
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Lo anterior realiza un rm -fr (eliminación recursiva) sobre el directorio /etc/openvpn/keys, por lo que se 
eliminarán todas los certificados y firmas digitales que hubieran existido con anterioridad. 

Afin de crear el certificado del servidor, se crea un certificado: 


sh /usr/share/easy-rsa/2.0/build-ca 


Se creará el archivo dh2048.pem, el cual contendrá las opciones del protocolo Diffie-Hellman, de 2048 bits: 


sh /usr/share/easy-rsa/2.0/build-dh 


El protocolo Diffie-Hellman permite el intercambio secreto de claves entre dos partes que sin que éstas hayan 
tenido contacto previo, utilizando un canal inseguro y de manera anónima (sin autenticar). Se emplea 
generalmente como medio para acordar claves simétricas que serán empleadas para el cifrado de una sesión, 
como es el caso de una conexión VPN. 

Para generar la firma digital, se utilizan el siguiente mandato: 

sh /usr/share/easy-rsa/2.0/build-key-server server 


Finalmente se crean los certificados para los clientes. En el siguiente ejemplo se crean los certificados para 

clientel, cliente2, cliente3, cliente4, cliente5 y cliente6: 

sh /usr/share/easy-rsa/2.0/build-key clientel 
sh /usr/share/easy-rsa/2.0/build-key cliente2 
sh /usr/share/easy-rsa/2.0/build-key cliente3 
sh /usr/share/easy-rsa/2.0/build-key cliente4 
sh /usr/share/easy-rsa/2.0/build-key clienteS 
sh /usr/share/easy-rsa/2.0/build-key cliente6 


A fin de utilizar los certificados y que se configure el sistema, se crea con el editor de texto el archivo 

/etc/openvpn/server.conf: 


vi /etc/openvpn/server.conf 


Para la VPN se recomienda utilizar una red privada que sea poco usual, a fin de poder permitir a los clientes 
conectarse sin conflictos de red. Un ejemplo de una red poco utilizada sería 192.168.37.0/255.255.255.0, lo 
cual permitirá conectarse a la VPN a 253 clientes. Tomando en cuenta lo anterior, el contenido del archivo 
/etc/openvpn/server.conf debe ser el siguiente: 


port 1194 
proto udp 
dev tun 

# - Sección de firma y certificados 

ca keys/ca.crt 

cert keys/server.crt 
key keys/server.key 
dh keys/dh2048.pem 

# - 

server 192.168.37.0 255.255.255.0 

ifconfig-pool-persist ipp.txt 

keepalive 10 120 

comp-lzo 

persist-key 

persist-tun 

log-append /var/log/openvpn.log 
verb 3 
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Descripción de las opciones anteriores: 

Port: Especifica el puerto que será utilizado para que los clientes vpn puedan conectarse al servidor. 

Proto: tipo de protocolo que se empleará en a conexión a través de VPN 
dev: Tipo de interfaz de conexión virtual que se utilizará el servidor openvpn. 
ca: Especifica la ubicación exacta del archivo de Autoridad Certificadora [,ca]. 
cert: Especifica la ubicación del archivo [.crt] creado para el servidor. 
key: Especifica la ubicación de la llave [.key] creada para el servidor openvpn. 

dh: Ruta exacta del archivo [.pem] el cual contiene el formato de Diffie Hellman (requirerido para --tls-serversolamente). 
server: Se asigna el rango IP virtual que se utilizará en la red del túnel VPN. 

Ifconfig-pool-persist: Archivo en donde quedarán registrado las direcciones IP de los clientes que se encuentran 
conectados al servidor OpenVPN. 

Keepalive 10120 : Envía los paquetes que se manejan por la red una vez cada 10 segundos; y asuma que el 
acoplamiento es abajo si ninguna respuesta ocurre por 120 segundos. 

comp-lzo: Especifica los datos que recorren el túnel vpn será compactados durante la trasferencia de estos paquetes. 

persist-key: Esta opción soluciona el problema por llaves que persisten a través de los reajustes SIGUSRl, así que no 
necesitan ser releídos. 

Persist-tun: Permite que no se cierre y re-abre los dispositivos TAP/TUN al correr los guiones up/down 

status: archivo donde se almacenará los eventos y datos sobre la conexión del servidor [.log] 

verb: Nivel de información (default=l). Cada nivel demuestra todo el Info de los niveles anteriores. Se recomiendael 
nivel 3 si usted desea un buen resumen de qué está sucediendo. 

0 --No muestra una salida excepto errores fatales. 1 to 4 -Rango de uso normal. 5 --Salida Ry Wcaracteres en la 
consola par los paquetes de lecturay escritura, mayúsculas es usada por paquetes TCP/UDP minúsculas es usada 
para paquetes TUN/TAP. 

Si SELinux está activo, es necesario que el directorio /etc/openvpn y sus contenidos tengan los contextos 
apropiados de esta implementación de seguridad. Ejecute restorecon con la opción -r y /etc/openvpn como 
argumento: 


restorecon -R /etc/openvpn/ 


Genere los archivos /etc/openvpn/ipp.txt y /var/log/openvpn.log ejecutando lo siguiente: 


touch /etc/openvpn/ipp.txt 
touch /var/log/openvpn.log 


Cambie el usuario y grupo propietarios del archivo /var/log/openvpn.log a openvpn: 

chown openvpn:openvpn /var/log/openvpn.log 

Si se tiene activo SELinux, se requiere asignar contexto de lectura y escritura (openvpn_etc_rw_t) al 
archivo /ertc/openvpn/ipp.txt: 

chcon -t openvpn_etc_rw_t /etc/openvpn/ipp.txt 

También cambie el contexto del archivo /var/log/openvpn.log a openvpn_var_log_t: 

chcon -t openvpn_var_log_t /var/log/openvpn.log 
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Ejecute lo siguiente sólo si utiliza CentOS 7 o Red Hat™ Enterprise Linux 7 o versiones posteriores: 

ln -s /lib/systemd/systein/openvpn\@. service \ 

/etc/systemd/system/multi-user.target,wants/openvpn\@server.service 

Ejecute lo siguiente para anadir el servicio al arranque del sistema si utiliza CentOS 6 o Red Hat™ Enterprise 
Linux 6: 

chkconfig openvpn on 

Ejecute en su lugar lo siguiente si utiliza CentOS 7 o Red Hat™ Enterprise Linux 7: 

systemctl -f enable openvpn@server 

Ejecute lo siguiente para iniciar el servicio si utiliza CentOS 6 o Red Hat™ Enterprise Linux 6: 

service openvpn start 

Ejecute en su lugar lo siguiente si utiliza CentOS 7 o Red Hat™ Enterprise Linux 7: 

systemctl start openvpn@server 

111.3.1. Configuración de muro cortafuegos con Shorevvall. 

El siguiente procedimiento considera que se ha configurado un muro cortafuegos apropiadamente, de acuerdo 
a las indicaciones descritas en el documento titulado Cómo configurar un muro cortafuegos con Shorevvall 
y tres interfaces de red. 

Edite el archivo /etc/shorewall/zones: 

vi /etc/shorewall/zones 

Independientemente del contenido, anada la zona rem con el tipo ipv4. 
rem ipv4 

Edite el archivo /etc/shorewall/interfaces: 

vi /etc/shorewall/interfaces 

Independientemente del contenido, aíïada la zona rem asociada a la interfaz tunO, con la opción detect, para 
detectar automáticamente el número de dirección IP de difusión ( broadcast ) y la opción dhcp. 

Anada lo siguiente si utiliza shorewall 4.5 o versiones posterioes: 

rem tunO dhcp,routeback 

Ahada lo siguiente si utiliza shorewall 4.4 o versiones anteriores: 
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rem tunO detect dhcp,routeback 

Edite el archivo /etc/shorewall/policy: 

vi /etc/shorewall/policy 

Independientemente del contenido, afiada las políticas deseadas para permitir el acceso de los miembros de la 
VPN hacia las zonas que se consideren apropiadas. En el siguiente ejemplo, se definen una sola política que 
permite el acceso desde la zona rem hacia cualquier otra zona del muro cortafuegos. 

rem all ACCEPT 

Si así lo requiere, puede definir políticas individuales hacia cada zona. En el siguiente ejemplo, se definen tres 
políticas que permiten el acceso desde la zona rem hacia la zonas fw, loc y net del muro cortafuegos. 


rem 

fw 

ACCEPT 

rem 

net 

ACCEPT 

rem 

loc 

ACCEPT 


Edite el archivo /etc/shorewall/rules: 

vi /etc/shorewall/rules 

Independientemente del contenido, ahada una regla para abrir el puerto 1194 por UDP para todas las 
conexiones iniciadas desde la zona net: 

ACCEPT net fw udp 1194 


m 


Nota. 


Sólo si se desea transparentar el tráfico entre la VPN y la red de área local, anada las reglas para permitir enmascarar el 
tráfico proveniente de la interfaz del túnel de la VPN hacia la interfaz de la zona de la red de área local y viceversa. 


Edite el archivo /etc/shorewall/masq: 


vi /etc/shorewall/masq 


Anada lo siguiente: 


ethl tunO 
tunO ethl 


Edite el archivo /etc/shorewall/tunnels: 


vi /etc/shorewall/tunnels 


Defina la configuración de tunel tipo servidor OpenVPN operando por puerto 1194, utilizando la zona rem y 
permitiendo conectarse desde cualquier ubicación. 
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#TYPE 

ZONE 

GATEWAY 

GATEWAY 

# 



ZONE 

openvpnserver:1194 

rem 

0.0.0.0/0 



En lugar de 0.0.0.0/0 también puede especificar una dirección IP o bien un segmento de red desde la cual se 
quiera establecer las conexiones VPN. 


Para aplicar los cambios, es necesario reiniciar shorevvall con el mandato service, del siguiente modo: 


service shorewall restart 


111.3.2. Configuración de clientes Windows. 

111.3.2.1. A través de OpenVPN GUI. 

Instalar el paquete de OpenVPN para Windows desde http://openvpn.net/index.php/open- 
source/downloads.html. 


Crear el archivo clientel-udp-1194.ovpn, con el siguiente contenido, donde es importante que las rutas 
definidas sean las correctas y las diagonales invertidas sean dobles: 


client 
dev tun 
proto udp 

remote dominio-o-ip.del.servidor.vpn 1194 
float 

resolv-retry infinite 
nobind 
persist-key 
persist-tun 

# - SECCION DE LLAVES - 

ca "C: \\Archivos de Programa\\OpenVPN\\config\\ca.crt" 
cert "C: \\Archivos de Programa\\OpenVPN\\config\\clientel.crt" 
key "C: \\Archivos de Programa\\OpenVPN\\config\\clientel.key" 
ns-cert-type server 

# - 

comp-lzo 

verb 3 


Descripción de las opciones anteriores: 


client: Especifica el tipo de configuración, en este caso tipo ciiente OpenVPN. 

Port: Especifica el puerto que será utilizado para que los clientes VPN puedan conectarse al servidor. 

Proto: tipo de protocolo que se empleará en a conexión a través de VPN 

dev: Tipo de interfaz de conexión virtual que se utilizará el servidor openvpn. 

remote: Host remoto o dirección IP en el cliente, el cual especifica al servidor OpenVPN. 

El cliente OpenVPN puede tratar de conectar al servidor con host:port en el orden especificado de las opciones de la 
opción --remote. 

float: Este le dice a OpenVPN aceptar los paquetes autenticados de cualquier dirección, no solamente la dirección cuál 
fue especificado en la opción --remote. 

resolv-retry: Si la resolución del nombre del anfitrión ( hostname ) falla para -- remote, la resolución antes de fallar hace 
una re-comprobación de n segundos. 

nobind: No agrega bind a la dirección local y al puerto. 

ca: Especifica la ubicación exacta del archivo de Autoridad Certificadora [,ca]. 

cert: Especifica la ubicación del archivo [.crt] creado para el servidor. 
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key: Especifica la ubicación de la llave [.key] creada para el servidor OpenVPN. 

remote: Especifica el dominio o IP del servidor así como el puerto que escuchara las peticiones para servicio VPN. 

comp-lzo: Especifica los datos que recorren el túnel VPN será compactados durante la trasferencia de estos paquetes. 

persist-key: Esta opción soluciona el problema por llaves que persisten a través de los reajustes SIGUSRl, así que no 
necesitan ser releídos. 

Persist-tun: Permite que no se cierre y re-abre los dispositivos TAP/TUN al correr los guiones up/down 

verb: Nivel de información (default=l). Cada nivel demuestra toda la Información de los niveles anteriores. Se 
recomienda el nivel 3 si usted desea un buen resumen de qué está sucediendo. 


0 --No muestra una salida excepto errores fatales. 1 to 4 -Rango de uso normal. 5 --Salida Ry VVcaracteres en la 
consola par los paquetes de lectura y escritura, mayúsculas es usada por paquetes TCP/UDP minúsculas es usada 
para paquetes TUN/TAP. 


El cliente necesitará que los archivos ca.crt, clientel.crt, clientel.key y clientel-udp-1194.ovpn estén 
presentes en el directorio "C:\Archivos de Programa\OpenVPN\config\". Estos archivos fueron creados, a 
través de un procedimiento descrito en este documento, dentro del directorio /etc/openvpn/keys/ del servidor. 

Si se quiere que los clientes de la VPN se puedan conectar a la red local, es importante considerar las 
implicaciones de seguridad que esto conlleva si alguno de los certificados es robado o bien el cliente se ve 
comprometido en su seguridad por una intrusión, virus, troyano o gusano. Es preferible que la red de la VPN 
sea independiente a la red local y cualquier otra red, uniendo los servidores y clientes a la VPN, 
independientemente de si éstos están en la red local o una red pública. 

Si es imperativo hacer que los clientes de la VPN se conecten a la red local, la red desde la cual se conectan 
los clientes debe ser diferente a la red utilizada en la red local. Por ejemplo: si la red local detrás del servidor de 
VPN es 192.168.0.0/255.255.255.0, 10.0.0.0/255.0.0.0 o 172.16.0.0/255.255.0.0, los clientes que se conecten a 
la VPN detrás de un modem ADSL o Cable e intenten establecer conexiones con la red local, muy seguramente 
tendrán conflictos de red. 

Para permitir a los clientes de la VPN poder establecer conexiones hacia la red local, se anaden las siguientes 
líneas en el archivo de configuración de OpenVPN para los clientes y que definen la ruta para la red local y un 
servidor DNS que debe estar presente y configurado para permitir consultas recursivas a la red de la VPN: 


route 192.168.0.0 255.255.255.0 
dhcp-option DNS 192.168.0.1 


Opcionalmente, también se puede definir un servidor Wins. 


dhcp-option WINS 192.168.26.1 


Lo anterior requiere que el acceso directo en el escritorio utilizado para iniciar la interfaz de usuario de 
OpenVPN tenga privilegios de administrador. De otro modo será imposible crear las rutas estáticas necesarias. 

Ejemplo, donde se asume que la red de área local corresponde a 192.168.26.0/255.255.255.0 y el servidor DNS 
y WINS corresponde a 192.168.26.1: 
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client 
dev tun 
proto udp 

remote dominio-o-ip.del.servidor.vpn 1194 
float 

resolv-retry infinite 

nobind 

persist-key 

persist-tun 

route 192.168.26.0 255.255.255.0 
dhcp-option DNS 192.168.26.1 
dhcp-option WINS 192.168.26.1 

# - SECCION DE LLAVES - 

ca "C: \\Archivos de Programa\\OpenVPN\\config\\ca.crt" 
cert "C: \\Archivos de Programa\\OpenVPN\\config\\clientel.crt" 
key "C: \\Archivos de Programa\\OpenVPN\\config\\clientel.key" 
ns-cert-type server 

# - 

comp-lzo 

verb 3 


111.3.3. Clientes GNU/Linux. 

111.3.3.1. Através del servicio openvpn. 

Este es el método que funcionará en prácticamente todas las distribuciones de de GNU/Linux basadas sobre 
Red Hat, CentOS y Fedora. Se requiere instalar el paquete openvpn: 

yum -y install openvpn 


Para CentOS y Red Hat™ Enterprise Linux, se requiere haber configurado previamente el almacén YUM de 
AL Server, descrito con anterioridad en este mismo documento. 


Para los clientes con GNU/Linux utilizando el servicio openvpn, básicamente se utiliza el mismo archivo para 
OpenVPN GUI para Windows, pero definiendo rutas en el sistema de archivos de GNU/Linux. Ejemplo: 


client 
dev tun 
proto udp 

remote dominio-o-ip.del.servidor.vpn 1194 
float 

resolv-retry infinite 

nobind 

persist-key 

persist-tun 

# - SECCION DE LLAVES - 

ca /etc/openvpn/keys/ca.crt 

cert /etc/openvpn/keys/clientel.crt 
key /etc/openvpn/keys/clientel.key 
ns-cert-type server 

# - 

comp-lzo 

verb 3 


Si se desea enrutar hacia la red de área local detrás del servidor, se utiliza una configuración similar a la de los 
clientes con Windows, anadiendo las opciones resaltadas en negrita, donde se asume que la red de área local 
corresponde a 192.168.26.0/255.255.255.0 y el servidor DNS corresponde a 192.168.26.1: 
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client 
dev tun 
proto udp 

remote dominio-o-ip.del.servidor.vpn 1194 
float 

resolv-retry infinite 

nobind 

persist-key 

persist-tun 

route 192.168.26.0 255.255.255.0 
dhcp-option DNS 192.168.26.1 

# - SECCION DE LLAVES - 

ca /etc/openvpn/keys/ca.crt 

cert /etc/openvpn/keys/clientel.crt 
key /etc/openvpn/keys/clientel.key 
ns-cert-type server 

# - 

comp-lzo 

verb 3 


Este archivo se guarda como /etc/openvpn/clientel-udp-1194.ovpn. Requiere que los certificados definidos 
en la configuración estén en las rutas especificadas dentro del directorio /etc/openvpn/keys/. 


Para iniciar la conexión hacia la VPN, simplemente se inicia el servicio openvpn: 
service openvpn start 

Para que la conexión se establezca automáticamente cada vez que se inicie el sistema, se utiliza el mandado 
chkconfig de la siguiente manera: 

chkconfig openvpn on 


111.3.3.2. A través de NetworkManager. 

NetworkManager es una implementación que permite a los usuarios configurar interfaces de red de todos los 
tipos, sin necesidad de contar con privilegios de administración en el sistema. Es la forma más flexible, sencilla 
y práctica de conectarse a una red VPN. 


Se requiere que los clientes Linux tengan instalado el paquete NetworkManager-openvpn, mismo que debe 
estar incluido en lo almacenes YUM de Fedora y distribuciones recientes de GNU/Linux. CentOS y Red Hat™ 
Enterprise Linux carecen los paquetes necesarios para utilizar NetworkManager-openvpn, por lo que solo 
podrá conectarse a la VPN a través del método anterior, con el servicio openvpn. 

Para instalar a través del mandato yum en distribuciones basadas sobre Fedora 9 en adelante, se hace de la 
siguiente manera: 


yum -y install NetworkManager-openvpn 


Se puede reiniciar el sistema para que tengan efectos los cambios o simplemente reiniciar el servicio 

NetworkManager: 


service NetworkManager restart 


Lo anterior cerrará y volverá a establecer las conexiones de red existentes. 
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Al igual que el método anterior, para los clientes con GNU/Linux con NetworkManager, básicamente se utiliza el 
mismo archivo para OpenVPN GUI para Windows, pero definiendo rutas en el sistema de archivos de 
GNU/Linux. Ejemplo: 


client 
dev tun 
proto udp 

remote dominio-o-ip.del.servidor.vpn 1194 
float 

resolv-retry infinite 

nobind 

persist-key 

persist-tun 

# - SECCION DE LLAVES - 

ca /etc/openvpn/keys/ca.crt 

cert /etc/openvpn/keys/clientel.crt 
key /etc/openvpn/keys/clientel.key 
ns-cert-type server 

# - 

comp-lzo 

verb 3 


Este archivo se puede utilizar con la interfaz gráfica de NetworkManager. Solo hay que hacer clic sobre el 
icono en el Área de notificación del panel de GNOME y luego hacer clic en Configurar VPN. 
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En la ventana que abre a continuación, hay un botón que permite importar el archivo de configuración. 
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Si los certificados y firma digital son colocados en la ruta /etc/openvpn/keys/ con SELinux activo, éstos 
funcionarán adecuadamente. Si los certificados y firma digital son almacenados dentro del directorio de inicio 
del usuarios, es necesario establecer la política openvpn_enable_homedirs con valor 1 (que equivale a on o 
activa): 


setsebool -P openvpn_enable_homedirs 1 

Personalmente recomiendo crear una configuración nueva desde la interfaz de NetworkManager. Desde la 
ventana de redes VPN de la interfaz de NetworkManager, hacer clic en Anadir. 
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Aparecerá un diálogo donde se debe seleccionar que se trata de una VPN con OpenVPN. 
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Ji 



Elija un tipo de conexión VPN 

Seleccione el tipo d eVPN que quiere usarpara la 
nueva conexión. Si el tipo de conexión V'PN que quiere 
crearno aparece en la lista, puede que no tenga 
instalado el complemento de VPN correcto 

[OpenVPN 0| 


Compatible con el servidorOpenVPN. 


QÇancelar 


Crear... 


En la siguiente ventana de diálogo, se define el nombre de la conexión, dirección IP o nombre del servidor 
donde está instalado OpenVPN y los certificados a utilizar. Si se siguieron los procedimientos de ese 
documento, se deja en blanco el campo Contrasena de clave privada. 



Luego, se hace clic en Avanzado para especificar que se utilizará compresión LZO. 
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Para evitar conflictos de conectividad, se hace clic en la pestana Ajustes IPV4 y se define un servidor DNS que 
permita al cliente navegar a través de Internet y dentro de la red de la VPN. 
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Se hace clic en Rutas para abrir otra ventana de diálogo y se seleccionan las casillas de las opciones Ignorar 
las rutas obtenidas automáticamente y Usar esta conexión solo para los recursos de su red. 
Opcionalmente se pueden afiadir las rutas estáticas para tener conectividad con la red local detrás del servidor 
de VPN, tomando en cuenta que la red local desde la cual se está conectado el cliente debe ser diferente a la 
de la red local detrás del servidor de VPN, a fin de evitar conflictos de red. 


'Eg Edltando las rutas IPv4 para Desarrollo.GenteLinux.com 


Dlrección Máscara de red Puerta de enlace Métrica 


cji Ariadiri 




vnvximxrnv 

(✓) Ignorarrutas obtenidas automáticamente j 

[yf| Usaresta conexión sólo para los recursos en su red 



Finalmente se hace clic en aplicar. Para conectarse a la red VPN, solo basta hacer clic sobre el icono de 
NetworkManager en el Área de notificación del panel de GNOME y seleccionar la red VPN recién 
configurada. 
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111.4. Bibiliografía. 

Este documento se basa sobre los manuales titulados VPN en servidor Linux y clientes Windows/Linux con 
OpenVPN + Shorewall [Parte 1] y VPN en servidor Linux y clientes Windows/Linux con OpenVPN + Shorewall 
[Parte 2], por William López Jiménez, publicados en Alcance Libre, cumpliendo cabalmente con los términos 
de la licencia Creative Commons Reconocimiento-NoComercial-Compartirlgual 2.1. 
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Debe reconocer y citar al autor original. b) No puede utilizar esta obra para fines comerciales. c) Si altera o transforma esta obra o genera una obra derivada, 
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112.1. Introducción. 

Smartmontools es un conjunto de herramientas utilizadas para supervisar la salud de las unidades de 
almacenamiento realizando pruebas para verificar su buen funcionamiento. Mientras la unidad de 
almacenamiento y la tarjeta madre tengan capacidad para utilizar S.M.A.R.T. (Self-Monitoring, Analysis and 
Reporting Technology) es posible anticipar las fallas. Solo basta configurar un archivo e iniciar un servicio. 

Los procedimientos descritos en este documento son imposibles de aplicar en máquinas virtuales. Se requieren 
unidades de almacenamiento reales. 

112.2. Equipamiento lógico necesario. 

La mayoría de las distribuciones recientes incluyen el paquete smartmontools en sus intercalaciones 
predeterminadas. 

112.2.1. Instalación en ALDOS, CentOS y Red Hat™ Enterprise Linux. 

Ejecute lo siguiente para instalar el paquete smartmontools: 


yum -y install smartmontools 


112.2.2. Instalación en openSUSE™ y SUSE™ Linux Enterprise. 

Ejecute lo siguiente para instalar el paquete smartmontools: 


yast -i smartmontools 


112.3. Activar, iniciar, reiniciar o detener el servico. 

112.3.1. En ALDOS, CentOS y Red Hat™ Enterprise Linux. 

Ejecute lo siguiente para activar el servicio en todos los niveles de ejecución: 
chkconfig smartd on 

Ejecute lo siguiente para iniciar el servicio: 
service smartd start 
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Ejecute lo siguiente para reiniciar el servicio y aplicar cambios en la configuración: 
service smartd restart 

Ejecute lo siguiente sólo si necesita detener el servicio: 
service smartd stop 

112.3.2. En openSUSE™ y SUSE™ Llnux Enterprise. 

Ejecute lo siguiente para activar el servicio en todos los niveles de ejecución: 
insserv smartd 

Ejecute lo siguiente para iniciar el servicio: 
rcsmartd start 

Ejecute lo siguiente para reiniciar el servicio y aplicar cambios en la configuración: 
rcsmartd restart 

Ejecute lo siguiente sólo si necesita detener el servicio: 
rcsmartd stop 

112.4. Procedimientos. 

Edite el archivo /etc/smartd.conf: 
vi /etc/smartd.conf 

Se requiere una línea de configuración por cada disco duro en el sistema especificando las opciones deseadas. 
Ejemplos hipotéticos: 

/dev/sda -a -m alguien@dominio.com 
/dev/sdb -a -m alguien@dominio.com 

Lo anterior hace que se envié a una dirección de correo electrónico un reporte completo y detallado de toda la 
información S.M.A.R.T. y las alertas pendientes. 

Para recibir sólo reportes de salud de /dev/sda y /dev/sdb en una cuenta de correo electrónico se utilizarían lo 
siguiente: 

/dev/sda -H -m alguien@dominio.com 
/dev/sdb -H -m alguien@dominio.com 

Existen otras opciones de configuración: 

-a, --all 
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Genera un reporte detallado con la información acerca de la unidad de almacenamiento. 


Incluye en el reporte el estado de salud y alertas pendientes. Si se quiere enviar reportes a un teléfono 
móvil, esta sería la opción única a utilizar. 


Incluye en el reporte el numero de modelo, número de serie, versión de Firmvvare e información adicional 
relacionada. 


Incluye en el reporte las capacidades S.M.A.R.T. 

-A 

Incluye en le reporte atributos S.M.A.R.T. específicos del fabricante de la unidad de almacenamiento. 

-I error 

Incluye en el reporte la bitácora de errores de S.M.A.R.T. 

-I selftest 

Incluye en el reporte la bitácora de pruebas de S.M.A.R.T. 

-I selective 

Algunas unidades de almacenamiento tipo ATA-7 (ejemplo: discos duros Maxtor) incluyen una bitácora de 
pruebas selectivas. 


-in 

Cuenta de correo electrónico a la cual se enviarán reportes. 

Reinicie el servicio al terminar con la configuración. Éste se encargará de ejecutar automáticamente y en 
segundo plano todas las pruebas necesarias y soportadas por las unidades de almacenamiento presentes en el 
sistema. El reporte se enviará automáticamente todos los días junto con el reporte de registros del sistema 
unos pocos minutos después de las 4:00 AM. 

112.4.1. Procedimientos manuales. 

Ejecute lo siguiente ver en pantalla un reporte instantáneo, completo y detallado: 
smartctl -a /dev/sda 

Ejecute lo siguiente para ver un reporte instantáneo con el estado de salud de la unidad de almacenamiento: 
smartctl -H /dev/sda 

Ejecute lo siguiente para realizar una prueba corta: 
smartctl --test=short /dev/sda 

Ejecute lo siguiente para realizar una prueba corta: 
smartctl --test=long /dev/sda 
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Ejecute lo siguiente para realizar una prueba sin conexión: 

smartctl --test=offline /dev/sda 
Ejecute lo siguiente para abortar cualquiera de las pruebas: 


smartctl -X 
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113. Configuración de Rsyslog. 
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113.1. Introducción. 

113.1.1. Acerca de syslog. 

Syslog es un estándar utilizado para la captura, el procesamiento y el trasporte de mensajes de registro del 
sistema —es decir las bitácoras del sistema. Es tanto un protocolo de red como a la aplicación o biblioteca 
compartida que sirve para procesar y enviar los mensajes de registro del sistema . 

Los mensajes se etiquetan con un código de identificación de entre los siguientes: auth, authpriv, daemon, cron, 
ftp, Ipr, kern, mail, news, syslog, user, uucp y localO hasta local7. La etiqueta también incluye el tipo de 
programa que generó los mensajes, indicando también el nivel de severidad de entre los siguientes: 
Emergency, Alert, Critical, Error, Warning, Notice, Info y Debug. 

113.1.2. òQué es Rsyslog? 

Rsyslog es un eficiente y rápido sistema de procesamiento de registros de sistema. Ofrece un diseno modular 
de alto desempeno y niveles de seguridad apropiados. A diferencia de sus predecesores — sysklog y syslog — 
permite ingreso de daos desde diversas fuentes, trasformación de datos y salida de resultados hacia varios 
destinos. Es lo suficientemente versátil y robusto para ser utilizado en entornos empresariales y tan ligero y 
sencillo que permite utilizarlo también en sistemas pequenos. Permite almacenar las bitácoras en archivos de 
texto simple o bases de datos MySQL y PostgreSQL, utilizar otros destinos en caso de falla, transporte de 
syslog a través de tcp, control detallado de formatos, etiquetas de tiempo exactas, operaciones en cola de 
procesamiento y capacidades de filtrado en cualquier parte de los mensajes. 

URL: http://www.rsyslog.com/ 

113.2. Equipamiento lógico necesario. 

El paquete rsyslog es un componente esencial y obligatorio de cualquier distribución de GNU/Linux modernay 
por tanto viene instalado de modo predeterminado y el servicio estará activo en todos los niveles de ejecución. 

113.3. Activar e iniciar servicio. 

113.3.1. CentOS 7 y Red Hat™ Enterprise Linux 7, openSUSE™ y SUSE™ Linux 
Enterprise 12. 

Si acaso fue desactivado el servicio, ejecute lo siguiente para volver a activarlo: 


systemctl enable rsyslog 
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Ejecute lo siguiente para iniciar el servicio por primera vez o si éste fue detenido previamente: 
systemctl start rsyslog 

Ejecute lo siguiente para reiniciar el servicio y aplicar cambios a la configuración, pero interrumpiendo todas las 
conexiones establecidas en ese momento: 

systemctl restart rsyslog 

Ejecute lo siguiente para cargar los cambios en la configuración, sin interrumpir el servicio y manteniendo 
activas todas las conexiones establecidas: 

systectl reload rsyslog 

Ejecute lo siguiente para detener el servicio: 

systemctl stop rsyslog 

113.3.2. ALDOS 1.4, CentOS 6 y Red Hat™ Enterprise Linux 6. 

Si acaso fue desactivado el servicio, ejecute lo siguiente para volver a activarlo: 
chkconfig rsyslog on 

Ejecute lo siguiente para iniciar el servicio por primera vez o si éste fue detenido previamente: 
service rsyslog start 

Ejecute lo siguiente para reiniciar el servicio y aplicar cambios a la configuración, pero interrumpiendo todas las 
conexiones establecidas en ese momento: 

service rsyslog restart 

Ejecute lo siguiente para cargar los cambios en la configuración, sin interrumpir el servicio y manteniendo 
activas todas las conexiones establecidas: 

service rsyslog reload 

Ejecute lo siguiente para detener el servicio: 

service rsyslog stop 

113.4. Modificaciones necesarias en el muro cortafuegos. 

Sólo es necesario abrir el puerto 514 (syslog) por TCP y UDP si se va a permitir a anfitriones remotos 
conectarse para almacenar sus registros en el servidor. 

113.4.1. Herramienta system-config-firewall. 
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Ejecute lo siguiente si utiliza el muro cortafuegos predeterminado del sistema: 

system-config-firewall 

Habilite el puertos 514/UDP y 514/TCP (syslog) y aplique los cambios. 
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Herramienta system-config-firewall habilitando el puerto 514 por TCP y UDP para Rsyslog en modo gráfico. 



Herramienta system-config-firewall habilitando el puerto 514 por TCP y UDP para Rsyslog en modo texto. 


113.4.2. Servicio iptables. 


Ejecute lo siguiente: 
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iptables -A INPUT -m state --state NEW -m udp -p udp --dport 514 -j ACCEPT 
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 514 -j ACCEPT 

Guarde los cambios ejecutando lo siguiente: 

service iptables save 

O bien edite el archivo /etc/sysconfig/iptables: 

vi /etc/sysconfig/iptables 

Afiada el siguiente contenido: 

-A INPUT -m state --state NEW -m udp -p udp --dport 514 -j ACCEPT 
-A INPUT -m state --state NEW -m tcp -p tcp --dport 514 -j ACCEPT 

Reinicie el servicio para aplicar los cambios: 

service iptables restart 


113.4.3. FirewallD. 

Ejecute lo siguiente: 


firewall-cmd --zone=home --add-port=514/tcp --add-port=514/udp 
firewall-cmd --permanent --zone=home --add-port=514/tcp --add-port=514/udp 


113.4.4. Shorewall. 

Edite el archivo /etc/shorewall/rules: 


vi /etc/shorewall/rules 


Afiada el siguiente contenido: 


#ACTI0N 

SOURCE 

DEST 

PROTO 

DEST 

SOURCE 



# 




PORT 

PORT(S)1 



ACCEPT 

all 

fw 

udp 

514 ACCEPT 

all fw 

tcp 

514 


Reinicie el servicio: 

service shorewall restart 

113.4.5. YaST Firewall. 

Ejecute lo siguiente para iniciar el módulo de muro cortafuegos de YaST: 

yast firewall 
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El la sección de reglas personalizadas, afiada dos reglas para habilitar las conexiones desde la red de área 
local para el puerto 514 por TCP y UDP. 
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Pulse F10 para aplicar los cambios y egresar al intérprete de mandatos. 


113.5. SELinux y rsyslog en CentOS y Red Hat™ Enterprise Linux. 

El siguiente paso se puede omitir en CentOS 7 y Red Hat™ Enterprise Linux 7. De modo predeterminado 
CentOS y Red Hat™ Enterprise Linux SELinux viene activo en modo obligatorio ( enforcing ). Éste anade 
seguridad y protección adicional. 

Desactivar por completo SELinux en un sistema operativo para servidores —en lugar de intentar aprender a 
utilizarlo— puede considerarse algo absolutamente irresponsable y negligente e invariablemente denotará una 
completa ignorancia de parte del administrador de sistemas respecto de aspectos de seguridad fundamentales 
en CentOS y Red Hat™ Enterprise Linux. 

Ejecute lo siguiente —sólo en el servidor— para anadir el contexto syslogd_port_t a las conexiones UDP a 
través del puerto 514. 


semanage port -a -t syslogd_port_t -p udp 514 


113.6. Procedimientos. 

113.6.1. Configuración del servidor. 

113.6.1.1. Archivo /etc/rsyslog.conf. 

Edite el archivo /etc/rsyslog.conf: 
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vi /etc/rsyslog.conf 


Localice lo siguiente alrededor de las líneas 12 y 18: 


# Provides UDP syslog reception 

#$ModLoad imudp 
#$UDPServerRun 514 

# Provides TCP syslog reception 

#$ModLoad imtcp 
#$InputTCPServerRun 514 


Habilite las líneas resaltadas eliminado las almohadillas: 


# Provides UDP syslog reception 

$ModLoad imudp 
$UDPServerRun 514 

# Provides TCP syslog reception 

$ModLoad imtcp 
$InputTCPServerRun 514 


Guarde los cambios y salga del editor de texto. 

Reinicie el servicio para aplicar los cambios. 
systemctl restart rsyslog 

Con la configuración realizadas hasta aquí, todos los mensajes de registro de los anfitriones remotos se 
almacenarán en los mismos archivos de registros que el anfitrión local. 

113.6.1.2. Almacenamiento de registros en directorios por anfitrión. 

De modo opcional puede modificar la configuración para generar automáticamente un directorio específico para 
cada anfitrión remoto. 


Edite de nuevo el archivo /etc/rsyslog.conf: 

vi /etc/rsyslog.conf 


Afiada lo siguiente al inicio de la sección de reglas —alrededor de la línea 34: 


#### RULES #### 

$template TmplAuth, "/var/log/rsyslog/%HOSTNAME%/%PROGRAMNAME%.log" 
$template TmplMsg, "/var/log/rsyslog/%HOSTNAME%/%PROGRAMNAME%.log" 
authpriv.* ?TmplAuth 

*.info,mail.none,authpriv.none,c ron.none ?TmplMsg 

# Log all kernel messages to the console. 

# Logging much else clutters up the screen. 

#kern.* /dev/console 


Guarde los cambios y salga del editor de texto. 
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Genere el directorio /var/log/rsyslog 

mkdir /var/log/rsyslog 
Reinicie el servicio para aplicar los cambios. 
service rsyslog restart 

113.6.1.3. Almacenamiento de registros en MySQL™ o MariaDB™. 

Conviene utilizar un motor de base de datos si la cantidad de datos gestionados en los mensajes de registro es 
muy grande. El siguiente procedimiento requiere omitir la sección anterior y que esté activo, configurado y 
funcionado MySQL™ o MariaDB™. 

Ejecute lo siguiente para instalar el paquete con el módulo de rsyslog para conexión a MySQL™/MariaDB™ 
en CentOS y Red Hat™ Enterprise Linux: 

yum -y install rsyslog-mysql 

Ejecute lo siguiente para instalar el paquete con el módulo de rsyslog para conexión a MySQL™/MariaDB™ 
en SUSE™ Linux Enterprise: 

yast -i rsyslog-module-mysql 

Ejecute lo siguiente en CentOS y Red Hat™ Enterprise Linux para crear la base de datos denominada Syslog 
con todas las tablas necesarias —se solicitará la contrasena de root: 

mysql -uroot -p < /usr/share/doc/rsyslog-*/mysql-createDB.sql 

Ejecute lo siguiente en SUSE™ Linux Enterprise para crear la base de datos denominada Syslog con todas las 
tablas necesarias —se solicitará la contrasena de root: 

mysql -uroot -p < /usr/share/doc/packages/rsyslog/mysql-createDB.sql 

Acceda al intérprete de mandatos de MySQL™/MariaDB™ —se solicitará la contrasena de root: 

mysql -uroot -p 

Ejecute lo siguiente para configurar los permisos de acceso, usuario y contrasena de la base de datos Syslog: 

grant all on Syslog.* to Syslogtalocalhost identified by 'especifique-una-contraseha 1 ; 
exit; 

Edite de nuevo el archivo /etc/rsyslog.conf: 

vi /etc/rsyslog.conf 

Anada lo siguiente antes de la sección GLOBAL DIRECTIVES —alrededor de la línea 20: 
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# Provides TCP syslog reception 
#$ModLoad imtcp 
#$InputTCPServerRun 514 

# Conexión a MySQL'VMariaDB™ 

ÍModLoad ommysql 

$ModLoad ommysql 

*.* :ommysql:127.0.0.1,Syslog,Syslog,contrasena-que-especificó-arriba 
$AllowedSender UDP, 127.0.0.1, 172.16.1.0/28, 10.0.1.0/29 
$AllowedSender TCP, 127.0.0.1, 172.16.1.0/28, 10.0.1.0/29 

#### GL0BAL DIRECTIVES #### 

# Use default timestamp format 


Lo anterior carga el módulo de conexión a MySQL™/MariaDB™, especifica que todas los tipos de registro se 
almacenará en una base de datos en el anfitrión local, en la base de datos Syslog, usando el usuario Syslog y 
la contrasena que especificó unos pasos arriba, desde el anfitrión local y desde los anfitriones de los segmentos 
de red 172.16.1.0/28 y 10.0.1.0/29. 


Guarde los cambios y salga del editor de texto. 

Reinicie el servicio para aplicar los cambios. 

service rsyslog restart 

113.6.2. Configuración de los clientes. 

Edite el archivo /etc/rsyslog.conf si utiliza CentOS o Red Hat™ Enterprise Linux: 

vi /etc/rsyslog.conf 

Edite el archivo /etc/rsyslog.d/remote.conf si utiliza SUSE™ Linux Enterprise: 

vi /etc/rsyslog.d/remote.conf 

Ariada lo siguiente al inicio de la sección de reglas —alrededor de la línea 34— especificando la dirección IP del 
servidor: 


#### RULES #### 

*.* @172.16.1.1 

# Log all kernel messages to the console. 

# Logging much else clutters up the screen. 

#kern.* /dev/console 


O bien especifique el nombre del servidor —si éste es resuelto por un servidor DNS. 


#### RULES #### 

*.* @servidor. red-local.net 

# Log all kernel messages to the console. 

# Logging much else clutters up the screen. 

#kern.* /dev/console 
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Reinicie el servicio para aplicar los cambios. 

Ejecute lo siguiente si utiliza CentOS 7, Red Hat™ Enterprise Linux 7 o SUSE™ Linux Enterprise 12: 
systemctl restart rsyslog 

Ejecute lo siguiente si utilizaALDOS 1.4, CentOS 6 o Red Hat™ Enterprise Linux 6: 
service rsyslog restart 

Utilice aplicaciones como LogAnalyzer para visualizar y hacer análisis de los mensajes de registro 
almacenados en la bases de datos. 

113.7. Bibliografía. 

• tecadmin.net/setup-centralized-logging-server-using-rsyslogd/ 
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114.1. Introducción. 

114.1.1. Acerca de SNMP. 

SNMP (Simple Network Management Protocol o Protocolo Simple de administración de red) es uno protocolos 
del conjunto definido por la Fuerza de Trabajo en Ingeniería de Internet (IETF o Internet Engineering Task 
Force), clasificada en el nivel de aplicación del modelo TCP/IP y que está disenado para facilitar el intercambio 
de información entre dispositivos de red y es ampliamente utilizado en la administración de redes para 
supervisar el desempeno, la salud y el bienestar de una red, equipo de computo y otros dispositivos. 

URL: http://tools.ietf.org/html/rfcll57. 

114.1.2. Acerca de Net-SNMP. 

Net-SNMP, el equipamiento lógio utilizado en este documento, es un conjunto de aplicaciones utilizados para 
implementar SNMP vl, SNMP v2c y SNMP v3 utilizando IPv4 y/o IPv6. El proyecto fue iniciado como un 
conjunto de herramientas SNMP por Steve VValdbusser en la CMU (Carnegie Mellon University), Pittsburgh, 
Pennsylvania, EE.UU., en 1992. Tras ser abandonado, fue retomado por VVes Flardaker en la UCDavis 
(University of California, Davis), renombrado como UCD-SNMP y mejorado para cubrir las necesidades del 
Departamento de Ingeniería Eléctrica de dicha institución. Tras dejar la universidad, Flardaker continuó el 
proyecto, cambiando el nombre de éste a Net-SNMP. 

URL: http://net-snmp.sourceforge.net/ 

114.2. Equipamiento lógico necesario. 

114.2.1. CentOS y Red Hat™ Enterprise Linux. 

Instale lo necesario ejecutando lo siguiente: 

yum -y install net-snmp net-snmp-utils 


114.3. Procedimientos 

Este documento considera las siguientes variables que deberán ser reemplazadas por valores reales: 

• 192.168.1.0/24. Dirección IP de la red y máscara de subred en formato CIDR correspondientes a 
la red de área local. 

• contraseíïa. Cualquier contraseha lo suficientemente buena. 
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• m064.alcancelibre.org. mx. Nombre de anfitrión del sistema donde se está configurando el 
servicio. 

• fulano@algún-dominio.net. Cuenta de correo del administrador del servidor. 

• 192.168.1.254: Dirección IP del servidor. 

Archivo de configuración /etc/snmp/snmpd.conf. 

El archivo /etc/snmp/snmpd.conf que se instala junto con el paquete y puede resultar para algunos una 
verdadera marana de comentarios y opciones de todo tipo. Lo más recomendable será crear un archivo nuevo y 
limpio de contenido para poder partir de algo más simple y funcional. 

Respalde el archivo original: 

mv /etc/snmp/snmpd.conf /etc/snmp/snmpd.conf-original 
Genere un nuevo archivo vacío ejecutando lo siguiente: 

touch /etc/snmp/snmpd.conf 
Edite el nuevo archivo vacío: 

vi /etc/snmp/snmpd.conf 


Proceda a anadir configuraciones como se describe a continuación. 

114.3.1.1. Listas de control de acceso. 

Se deben crear las listas de control de acceso (ACL o Access Control List) correspondientes en el archivo 
/etc/snmp/snmpd.conf, las cuales servirán para definir lo que tendrá acceso hacia el servicio snmpd. A una 
de estas listas se le otorgará permiso de acceso de lectura y escritura, para lo que sea necesario en relación 
con administración y a la otra de solo lectura. Por razones de seguridad solo la interfaz 127.0.0.1 estará en la 
lista de lectura escritura. Se otorgará permiso de acceso de solo lectura a una red o bien a una dirección IP en 
la otra lista de control de acceso. 

Considerando lo anterior, se podrían agregar un par de líneas como las siguientes: 

com2sec local 127.0.0.1/32 contrasena 
com2sec MiRedLocal 192.168.1.0/24 contrasena 


En lo anterior la primera línea significa que habrá una lista de control de acceso denominada «local» y que 
corresponderá solo a 127.0.0.1/32, asignando contrasena como contrasena. La segunda línea hace lo mismo 
pero definiendo a la red 192.168.1.0/24. Se puede definir lo que uno guste mientras no sea la clave de root, 
esto debido a que dicha clave se transmite a través de la red en forma de texto simple (es decir, sin cifrar). 

114.3.1.2. Definición de grupos. 

Se crean al menos dos grupos: MiGrupoRW y MiGrupoRO. El primero será un grupo al que se asignarán más 
adelante permisos de lectura escritura y el segundo será un grupo al que posteriormente se asignarán 
permisos de solo lectura. Por cada grupo se asignan tres líneas que especifican el tipo de acceso que se 
permitirá en un momento dado a un grupo en particular. Es decir, MiGrupoRW se asocia a local y MiGrupoRO 
a MiRedLocal. 
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#Se asigna local al grupo de lectura escritura 
group MiCrupoRM vl local 
group MiCrupoRW v2c local 
group MiCrupoRW usm local 

#Se asigna MiRedLocal al grupo de solo lectura 
group MiCrupoRO vl MiRedLocal 
group MiCrupoRO v2c MiRedLocal 
group MiCrupoRO usm MiRedLocal 


114.3.1.3. Ramas permitidas. 

Se especifican las ramas que se van a permitir ver a través del servicio. Lo más común, para, por ejemplo, 
utilizarse con MRTG, es lo siguiente: 


## name 

incl/excl 

subtree 

mask(optional) 

view all 

included 

.1 

80 


114.3.1.4. Asignación de permisos a los grupos. 

Se debe especificar que permisos tendrán los dos grupos, MiGrupoRO y MiGrupoRVV. Son de especial interés 
las últimas columnas. 


## group context 

sec.model 

sec.level 

prefix 

read 

write 

notif 

access MiCrupoRO "" 

any 

noauth 

exact 

all 

none 

none 

access MiCrupoRW "" 

any 

noauth 

exact 

all 

all 

all 


114.3.1.5. Opciones de carácter informativo. 

Se definen dos opciones de carácter informativo para que cuando utilicen aplicaciones cliente como MRTG se 
incluya algo de información acerca de que sistema se está accediendo. 


syslocation Servidor Lirtux ert servidor.algúrt- dominio.net 
syscontact Administrador (fulano§algún-dominio.net) 


114.3.2. Un ejemplo funcional de configuración. 

El ejemplo que mostramos a continuación se utiliza en todas los equipos que posee el autor en casa y en la 
oficina. Solo hay que reemplazar el valor redlocal por lo que uno considere apropiado y reemplazar el valor 
192.168.1.0/24 por el valor de la red o la dirección IP desde donde se requiera acceder con un cliente snmp, 
como MRTG. 
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# Listas de control de acceso (ACL) 

## sec.name source community (alias contrasena) 
com2sec local 127.0.0.1/32 contrasena 
com2sec MiRedLocal 192.168.1.0/24 contrasena 


#Se asigna ACL al grupo de lectura escritura 
group MiCrupoRU vl local 
group MiCrupoRW v2c local 
group MiCrupoRW usm local 

#Se asigna ACL al grupo de solo lectura 
group MiCrupoRO vl MiRedLocal 
group MiCrupoRO v2c MiRedLocal 
group MiCrupoRO usm MiRedLocal 

# Ramas MIB que se permiten ver 

## name incl/excl subtree mask(optional) 

view all included .1 80 


# Establece permisos de lectura y escritura 

## group context sec.model sec.level prefix read write notif 

access MiCrupoRO "" any noauth exact all none none 

access MiGrupoRW "" any noauth exact all all all 

# Información de Contacto del Sistema 

syslocation Servidor Linux en m064.alcancelibre.org.mx 
syscontact Administrador (fulano§algún- dominio.net) 


Siga el siguiente procedimiento para anadir más anfitriones clientes al servicio: 

1. Agregue unaACLcon un nombre único. Ejemplo: 

com2sec nuevo-acl 192.168.1.251 contraseha 

2. Agregue un juego reglas asignadas al grupo como se muestra en el siguiente ejemplo: 

group nuevo-grupo vl nuevo-acl 
group nuevo-grupo v2c nuevo-acl 
group nuevo-grupo usm nuevo-acl 

3. Agregue una línea que establezca cuáles permisos tendrá nuevo-grupo. En el ejemplo se 
establece un permiso de sólo lectura: 

access nuevo-grupo "" any noauth exact all none none 


Activar, iniciar, detener y reiniciar el servicio. 

Ejecute lo siguiente para activar el servicio en todos los niveles de ejecución: 

chkconfig snmpd on 

Ejecute lo siguiente para ejecutar por primera vez el servicio: 

service snmpd start 

Ejecute lo siguiente para reiniciar el servicio y aplicar cambios hechos a la configuración: 

service snmpd restart 

Ejecute lo siguiente para detener el servicio: 

service snmpd stop 
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114.4. Comprobaciones. 

Considerando, como ejemplo, que sea signó como contraseíìa contrasena en un sistema cuya dirección IP es 
192.168.1.254, para probar si la configuración funciona, solo hay que ejecutar los dos siguiente mandatos a fin 
verificar que devuelvan información acerca del sistema consultado. 

snmpwalk -v 1 192.168.1.254 -c contrasena system 
snmpwalk -v 1 192.168.1.254 -c contraseha interfaces 


114.5. Modificaciones necesarias en el muro cortafuegos. 

Si se utiliza un cortafuegos con políticas estrictas, como por ejemplo Shorevvall, es necesario abrir los puerto 
161 y 162 por UDP (SNMP y SNMPTRAP, respectivamente). 

Las reglas para el archivo /etc/shorevvall/rules de Shorevvall en un sistema con una zona (net), 
correspondería a lo siguiente: 


#ACTION SOURCE DEST PROTO DEST 

ACCEPT net fw udp 161,162 


SOURCE 

P0RT(S)1 


Las reglas para el archivo /etc/shorevvall/rules de Shorevvall en un sistema con dos zonas (net y loc), donde 
solo se va a permitir el acceso al servicio snmpd desde la red local, correspondería a lo siguiente: 

#ACTION SOURCE DEST PROTO DEST SOURCE 

# PORT PORT(S)1 

ACCEPT loc fW udp 161,162 

Ejecute lo siguiente para aplicar los cambios: 
service shorewall restart 
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115.1. Introducción. 

La existencia de este documento obedece a varias razones, pero principalmente para fomentar la conciencia 
respecto de la privacidad y seguridad. Aunque la gente a veces desconoce del tema o es indiferente, estamos 
en una época en la cuál cualquier « nino» de 12 anos —o menos— con acceso a Internet puede aprovechar 
fácilmente los agujeros de seguridad, obtener información o documentos críticos o aprovecharse de descuidos 
de los usuarios. Sólo hay que hacer búsquedas por «visa.txt», «credit_card.doc» o «mastercard_list.xls» en las 
redes P2P como ejemplo. 

Uno de los mejores métodos para solventar este tipo de problemas es usar criptografía. 

Si bien la criptografía data de tiempos muy remotos, la gran revolución de ésta sucedió en 1975, cuando dos 
ingenieros electrónicos de la Universidad de Stanford, Whitfield Diffie y Martin Hellman, aportaron el primer 
concepto nuevo en criptografía desde el tiempo de los griegos: la criptografía de clave pública. La nueva idea 
consistía en algo aparentemente imposible: un criptosistema donde hubiera dos claves, una para cifrar y otra 
para descifrar. De esta forma, si los usuarios fulano y zutano quieren intercambiarse mensajes, cada uno crea 
su pareja de claves y hacen pública la clave de cifrado. Entonces fulano, usando la clave de cifrar de zutano, le 
envía un mensaje. Carece de relevancia si el mensaje es incidentalmente o intencionalmente interceptado: el 
único que puede recomponer el mensaje es zutano, quien posee la clave de descifrado. Zutano hará lo 
contrario para responder el mensaje a fulano: usará la clave pública de fulano para enviarle el mensaje. 

La idea es sencilla. El problema estaba en encontrar una función matemática que la lleve a la práctica. Diffie y 
Hellman sugirieron que una manera de disenar sistemas criptográficos seguros era utilizando problemas 
irresolubles desde el punto de vista computacional. Es decir, un escenario donde una computadora requerirá 
muchísimo tiempo —incluso millones de anos— en encontrar la solución. La manera de construir un 
criptosistema de clave pública es la siguiente: 

• Se escoge un problema intratable desde el punto de vista computacional. 

• De éste se obtiene un subproblema más sencillo de fácil resolución. 

• Se transforma el problema fácil en otro más difícil que se acerque al problema intratable. A esta 
transformación se la llama función trampa. 

• Se publica el problema difícil y la forma de usarlo: es la clave de cifrado. Pero se reserva la forma 
de pasar del difícil al fácil: es la clave de descifrado. 

En la actualidad el método más utilizado es el llamado RSA, desarrollado en 1977 por Ronald Rivest, Adi 
Shamir y Leonard Adleman. Este sistema se basa sobre la inexistencia de un algoritmo suficientemente 
eficiente para factorizar grandes números que sean producto de dos números primos. 
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La ventaja de la criptografía moderna es que permite resolver dos de los problemas más importantes con los 
que se enfrenta el nuevo mundo digital que está emergiendo: la modificación del contenido de un mensaje por 
parte de un tercero y la identificación de quien envió el mensaje. La utilización tanto de la criptografía de clave 
secreta como de la pública permite obtener cierta certeza de que el mensaje carece de alteraciones, aunque sin 
la certeza absoluta. Por otro lado, la criptografía de clave pública ha permitido la aparición de la firma digital 
como sustitución de la firma manual. 

Diffie y Hellman se propusieron en 1976 encontrar un método para que —siguiendo con nuestros amigos— 
fulano pudiera estar seguro de la procedencia del mensaje es de zutano y además pudiera convencer también a 
un juez en un proceso legal. Así, la firma digital debe ser única, imposible de falsificar, fácil de autenticar e 
irrevocable. Pero quizá lo más curioso de todo es que los sistemas de clave pública permiten lo que se llama 'el 
protocolo de la fe' o la demostración de conocimiento nulo: Fulano puede convencer a zutano que posee un 
secreto sin decirle de qué secreto se trata. Siguiendo un símil, fulano es incapaz de abrir una caja cerrada 
porque zutano posee la llave y zutano se compromete a jamás modificar su contenido una vez abierta. Este 
protocolo tiene una aplicación clara: permite decir quién eres sin decirlo, algo muy importante cuando se trata 
de contrasenas o números de identificación personai. 

Hoy cualquiera puede hacerse con un criptosistema seguro —como PGP (Pretty Good Privacy). Y todo este 
preámbulo fue para llegar hasta aquí. 

GnuPG es un reemplazo completo para PGP. Puede ser utilizado sin restricciones gracias a que prescinde del 
algoritmo patentado IDEA. GnuPG es una aplicación que cumple el RFC2440 (OpenPGP). La versión 1.0.0 fue 
lanzada el 7 de septiembre de 1999. GnuPG es Softvvare Libre por lo que puede ser utilizado, modificado y 
distribuido libremente bajo los términos de la GNU/GPLv2. PGP —sobre el cual se basa OpenPGP— fue 
desarrollado originalmente por Philip Zimmermann a comienzos de la década de 1990. 

GnuPG es una herramienta para el intérprete de mandatos y es muy «compleja» para utilizarla sin un 
conocimientos previos. Afortunadamente este documento tiene como intención facilitar su uso y además existen 
frentes gráficos que facilitan el trabajo para casi cualquier arquitectura. GnuPG es demás 100% compatible con 
las llaves PGP. 

SeaHorse es el mejor frente de gnupg para el escritorio. 

115.2. Equipamiento lógico necesario. 

115.2.1. En ALDOS, CentOS, Fedora™ y Red Hat™ Enterprise Linux. 

El paquete gnupg viene incluido en la instalación estándar. Ejecute los siguiente en caso de ser necesario: 


yum -y install gnupg 


Ejecute lo siguiente para instalar Seahorse: 


yum -y install seahorse 


115.2.2. En openSUSE™ y SUSE™ Enterprise Linux. 

El paquete gnupg viene incluido en la instalación estándar de SUSE™ Linux Enterprise Server. Ejecute lo 
siguiente en caso de ser necesario: 

yast -i gpg2 

Ejecute lo siguiente para instalar Seahorse. 
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yast -i seahorse 


115.3. Procedimientos. 

115.3.1. Generando el par de llaves desde el intérprete de mandatos. 

Ejecute la siguiente para generar el par de llaves: 


gpg --gen-key 


Lo anterior solicitará: 

• Tipo de llave. Predeterminado y recomendado es RSAy RSA. 

• Tamano de la llave. Predeterminado es 2048 bits. Se recomienda 4096 bits para producción. 
Seleccione 1024 sólo para pruebas. 

• Caducidad de la llave. Predeterminado es sin caducidad. 

• Confirmación de la caducidad. 

• Nombre y apellidos. 

• Dirección de correo electrónico primaria. 

• Comentario descriptivo para el par de llaves. 

• Confirmación de los datos del usuario. 

• Contrasena y frase de acceso con confirmación. 

El proceso puede demorar varios minutos —incluso horas— dependiendo del tamano de la firma. En máquinas 
virtuales en anfitriones sin instrucciones para virtualización en el CPU ésto puede demorar muchas horas e 
incluso días. 

Ejecute lo siguiente para ver la lista de llaves. 


gpg --list-keys 


La salida sería similar a lo siguiente: 


[fulanoilocalhost][~]$ gpg --list-secret-keys 
/home/fulano/.gnupg/secring.gpg 


sec 4096D/FO8846B8 2004-10-27 Fulano (Personal) 

uid Fulano (Fulano de Tal) . 

[fulanoilocalhost][~]$ 


Conviene generar un certificado de revocación en caso de extraviar la frase de acceso o que la seguridad de las 
llaves se haya visto comprometida. En el siguiente ejemplo se crea el certificado de revocación para la llave con 
identidad F08846B8. 


gpg --output revocacion.asc --gen-revoke F08846B8 

Esta última llave se debe enviar a todos los contactos en caso de requerirse revocar la llave original. 
Ejecute lo siguiente para exportar la firma en formato binario: 
gpg --output fulano.gpg --export F08846B8 
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Ejecute lo siguiente para exportar la firma en formato legible: 

gpg --output fulano.asc --armor --export F08846B8 

Ejecute lo siguiente para importar la firma de otro usuario a partir de cualquiera de los dos tipos de archivo 
mencionados arriba: 


gpg --import zutano.gpg 


115.3.2. Generando el par de llaves con Seahorse. 

Una vez instalado este programa, lo primero es generar el par de llaves (keys) pública y privada. Seahorse 
tiene un muy intuitivo asistente de configuración que guía paso a paso para generar el juego de llaves. 

Las llaves pueden tener una longitud desde 1024 bits hasta 4096 bits, lo que significa que gnupg buscará dos 
números primos cuyo producto sea un número de la cantidad de bits (combinación de ls y Os) seleccionada 
cuando se genere la llave. 

La cantidad de bits de la llave depende del grado de seguridad que necesite el usuario. Cuanto más grande sea 
la llave, más difícil será romperla pero también será más lento será el cifrado y decifrado de datos. 

115.3.3. Estableciendo el anillo de confianza (KeyRing) 

El objetivo de ésto es distribuir la llave pública y obtener las llaves públicas de amigos, conocidos o companeros 
de trabajo y establecer así nuestro anillo de confianza. Una vez que alguien envía su llave pública se debe 
importar al anillo personal. Ejecute SeaHorse, vaya al menú Key/Llaves -* Import/lmportar en ese momento 
le tenemos que especificar, la ruta a la llave pública de la persona en cuestión. 

Una vez hecho esto hay que firmar la llave pública recientemente importada a fin de poder utilizarla. Seleccione 
la llave correspondiente y haga clic sobre el botón «Sign Key/Firmar llave», se preguntará que tan convencido 
estamos de que esa llave es de quién dice ser y posteriormente la contrasena y la llave será incluida en nuestro 
anillo de confianza. 

115.3.4. Firma, cifrado y descifrado. 

Para cifrar un mensaje se debe utilizar la llave pública de la persona receptora del mensaje/archivo o la llave 
pública si el cifrado es por motivos de seguridad. 

Hoy en día casi cualquier cliente de correo electrónico tiene la opción de firmar/cifrar correo electrónico a través 
de complementos. Para mayor información consulte la documentación de cada cliente de correo electrónico. 

Para descifrar un mensaje el emisor seguramente utilizó la llave pública, y se requiere la llave privada para 
descifrarlo. 

Abra una terminal como usuario regular y genere un archivo para realizar pruebas: 


ls -ail > -/archivo.txt 


Ejecute lo siguiente para crear un archivo firmado en formato binario: 


gpg --sign archivo.txt 
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Lo anterior solicitará la contrasena o frase de acceso y creará un archivo en formato binario denominado 
archivo.txt. sig. 

Ejecute lo siguiente para crear un archivo firmado en texto legible: 
gpg --clearsign archivo.txt 

Lo anterior solicitará la contrasena o frase de acceso y creará un archivo en formato de texto simple 
denominado archivo.txt.asc. 

Ejecute lo siguiente para verificar los archivos firmados en los 2 ejemplos de arriba: 

gpg --verify archivo.txt.sig 
gpg --verify archivo.txt.asc 

Ejecute lo siguiente para generar un archivo de firma separado para un archivo. 

gpg --output firma-archivo.txt.sig \ 

--detach-sig archivo.txt 

Lo anterior solicitará la contrasena o frase de acceso y creará el archivo en formato binario firma-archivo.txt. sig. 
Ejecute lo siguiente para verificar la integridad de un archivo a partir del archivo de firma: 
gpg --verify firma-archivo.txt.sig archivo.txt 


Para cifrar un archivo se requiere definir el destinatario del mismo de entre la lista de identidades importadas al 
anillo personal. El remitente puede utilizar la cuenta de correo o la clave de identidad mostrada por gpg --list- 
keys que correspondiente al destinatario. Ejemplo: 


gpg --output archivo-cifrado.txt.gpg \ 

--encrypt --recipient alguien@algo.org \ 
archivo.txt 


Lo anterior solicitará la contrasena o frase de acceso. 

El destinatario tendría que ejecutar lo siguiente para descifrar el archivo: 

gpg --output archivo-descifrado.txt \ 

- -decrypt archivo-cifrado.txt.gpg 

Lo anterior solicitará la contrasena o frase de acceso correspondiente a la llave del destinatario. 

Ejecute lo siguiente para cifrar un documento de forma simétrica, es decir utilizando una contrasena o frase 
distinta a la utilizada para la llave privada: 

gpg --output archivo-cifrado.txt.gpg \ 

--symmetric archivo.txt 


Ejecute lo siguiente para descifrar el archivo: 
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gpg --output archivo-descifrado.txt \ 
--decrypt archivo-cifrado.txt.gpg 


Lo anterior solicitará la contrasena o frase de acceso asignada al archivo. 

Lo anterior solicitará ingresar una contrasena o frase de acceso con confirmación. 

115.3.5. Diferencias entre cifrar y firmar. 

Cifrar consiste en hacer ilegible un archivo o texto utilizando la llave pública del receptor del mismo quien será 
el único que pueda descifrar el archivo o texto utilizando su llave privada. 

Firmar un archivo sólo permite asegurar al receptor de éste la identidad del creador. El autor utiliza la llave 
privada para firmar y el receptor la llave pública para validar la identidad del autor. 

115.3.6. Respaldo de las llaves 

Seahorse sólo permite hacer el respaldo de la llave pública. El respaldo de la llave privada sólo es posible 
utilizando gpg desde el intérprete de mandatos. Desde la pestana denominada «Mis Claves personales» 
seleccione la llave y desde el menú contextual seleccione y haga clic sobre la opción « Export/Exportar » y se 
guarda el archivo como nombre.asc. Este es el archivo que se puede distribuir a cualquier persona que se 
quiera incluir al anillo personal. 

Hay dos formas de respaldar el par de llaves. La más simple es crear un respaldo de todo el contenido de 
-/.gnupg/secring.gpg (llave privada) y ~/.gnupg/pubring.gpg. El respaldo incluiría también otras llaves 
utilizadas y todas las llaves del anillo personal. 

La forma de respaldo más confiable, precisa y segura es hacerlo utilizando gpg. Ejecute primero lo siguiente 
para conocer identidad de la llave: 


gpg --list-secret-keys 


La salida sería similar a lo siguiente: 


[fulano@localhost][~]$ gpg --list-secret-keys 
/home/fulano/.gnupg/secring.gpg 


sec 4096D/FO8846B8 2004-10-27 Fulano (Personal) 

uid Fulano (Fulano de Tal) . 

[fulanoilocalhost][~]$ 


En el ejemplo anterior: la identidad de la llave correspondería a F08846B8. 


Ejecute lo siguiente para hacer respaldo de esta llave: 


gpg --armor \ 

-o Llave_Privada.key \ 
--export-secret-keys F08846B8 


El respaldo se almacenará en el archivo Llave_Privada.key. 

Ejecute lo siguiente para proteger la llave privada con una contrasena o frase de acceso: 
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gpg --armor \ 

--export-secret-keys F08846B8 \ 
| gpg --armor --symmetric \ 

-o Llave„Privada.key.gpg 


Lo anterior solicitará una contrasena o frase de acceso con confirmación. 


Ejecute lo siguiente para restaurar de la llave privada protegida con una frase de acceso: 


gpg --decrypt Llave„Privada.key.gpg 


Lo que solicitará la contrasenay el archivo resultante será un archivo *.key que se puede importar normalmente 
desde Seahorse. 

115.3.7. Consejos Finales. 

• GnuPG brinda la posibilidad de usar unafrase de acceso. Es decir se puede escribir como 
contraseha, oraciones, citas, incluir espacios en blanco y demás. Sin embargo, utilizar frases 
como «Mi mamá me mima» es una pésima idea. Una buena frase de acceso contiene letras 
mayúsculas y minúsculas, signos, puntuaciones, acentos y tildes y principalmente evitar palabras 
de diccionario de cualquier idioma. 

Ejemplo de una buenafrase de acceso: @ic@nc3 libr3, l@ lib3rt@d d3l c0n0cimi3nt0 

• Es importante almacenar las llaves en algún tipo de medio confiable —CD, DVD o llave USB— y 
a su vez guardar éstos en lugar seguro. 

• Para los paranoicos, el hecho de tener la llave privada sólo con una frase de acceso puede ser 
insuficiente. Existe una forma de reforzar la seguridad comprimiendo el archivo y protegiéndolo 
con una contrasena a través de zip. Ejemplo: 

zip -e respaldo-llave.zip Llave_Privada.key.gpg 
Lo anterior solicitará una contrasena con confirmación. 

Adicionalmente —y dependiendo de su grado de paranoia— se puede volver a poner el archivo 
resultante dentro de otro archivo zip —con compresión 0— y repetir tantas veces como se quiera. 
De esta forma, si la llave pública cae en manos equivocadas, primero debe romper tantas 
contrasenas como archivos zip se hayan creado, romper la frase de acceso del archivo 
Llave Privada.key.gpg y luego la frase de acceso de la llave en si. Aún con un enorme poder de 
procesamiento, hacer todo ésto puede llevar meses, anos o décadas. Si la contrasena o frase de 
acceso es muy mala, ésto puede demorar desde unos segundos hasta algunas horas o días. 
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116.1. Introducción. 

En los entornos corporativos y algunas empresas que utilizan GNU/Linux como sistema operativo de escritorio, 
es una práctica común bloquear el acceso a unidades de disco óptico y unidades de almacenamiento USB. Hay 
varias formas de lograr este objetivo. Pueden usarse individualmente o en combinación, dependiendo de lo que 
prefiera el administrador del sistema. 

116.2. Procedimientos. 

116.2.1. Bloquear el uso de unidades de disco óptico. 

El procedimiento es el mismo para CentOS, Fedora™, openSUSE™, Red Hat™ Enterprise Linux y SUSE™ 
Linux Enterprise. 

Edite el archivo /etc/fstab: 


vim /etc/fstab 

Anada el siguiente contenido: 

/dev/dvd /media/dvd auto noauto,defaults 0 0 

Lo anterior hará que la unidad de disco óptico sólo pueda ser utilizada por root. 

Lo anterior se complementa estableciendo como valor obligatorio que jamás se monten automáticamente las 
unidades de almacenamiento externo. 


gconftool-2 --direct --config-source \ 

xml:readwrite:/etc/gconf/gconf.xml.mandatory \ 
/apps/nautilus/preferences/media_automount \ 
--type bool false 


Sólo para SUSE™ Linux Enterprise 10, la ruta del directorio gconf.xml.mandatory corresponde a 

/etc/opt/gnome/gconf/gconf.xml.mandatory: 


gconftool-2 --direct --config-source \ 

xml:readwrite:/etc/opt/gnome/gconf/gconf.xml.mandatory \ 
/apps/nautilus/preferences/media_automount \ 

--type bool false 
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Concluido lo anterior, si un usuario regular inserta un CD o DVD en la unidad óptica, la unidad jamás será 
montada y si el usuario intenta montar manualmente le será denegado el acceso mostrando una ventana de 
alerta. 

116.2.2. Bloquear uso del módulo usb-storage o uas del núcleo de Linux. 

Es posible bloquear el acceso al módulo usb-storage o bien el módulo uas, del núcleo de Linux. Éstos son los 
dos controladores utilizados para acceder a cualquier tipo de unidad de almacenamiento externo por USB. 

116.2.3. En CentOS, Fedora™ y Red Hat™ Enterprise Linux. 

Utilice cualquier editor de texto para crear el archivo /etc/modprobe.d/usb-storage.conf: 

vim /etc/modprobe.d/usb-storage.conf 
Anada el siguiente contenido: 

install usb-storage /bin/false 


Reinicie el sistema para que surtan efecto los cambios o bien desconecte cualquier unidad de almacenamiento 
USB que esté presente en el sistema y ejecute lo siguiente: 


rmmod usb-storage 
depmod -a 


Inserte cualquier unidad de almacenamiento USB para verificar que es imposible acceder hacia el contenido de 
ésta. 

Si lo prefiere, también es posible permitir cargar el módulo usb-storage, pero emitiendo un mensaje de correo 
electrónico que informará al administrador del sistema cuando se inserte una unidad de almacenamiento USB. 

Utilice cualquier editor de texto para crear o modificar el archivo /etc/modprobe.d/usb-storage.conf: 

Elimine la configuración previa y/o anada el siguiente contenido: 


install usb-storage /bin/mail \ 

-s "Unidad USB insertada en SHOSTANAME" \ 
alguien@algo.com 


Reinicie el sistema para que surtan efecto los cambios o bien desconecte cualquier unidad de almacenamiento 
USB que esté presente en el sistema y ejecute lo siguiente: 


rmmod usb-storage 
depmod -a 


Espere unos minutos y verifique el mensaje que ha emitido el sistema en el buzón entrada de la cuenta de 
correo electrónico definida. 

116.2.4. En openSUSE™ 11. 
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En openSUSE se utiliza de modo predeterminado el módulo uas (USB Attached SCSI), el cual era una 
alternativa más moderna y que tenía un mejor desempeho y funcionamiento que el módulo usb-storage. En 
enero de 2013 fue declarado como módulo estropeado en el árbol de desarrollo del núcleo de Linux, por lo cual 
versiones posteriores de openSUSE™ volvieron a utilizar el módulo usb-storage. 

Utilice cualquier editor de texto para crear el archivo /etc/modprobe.d/usb-storage.conf: 


vim /etc/modprobe.d/usb-storage.conf 


Anada el siguiente contenido: 


install uas /bin/false 


Reinicie el sistema para que surtan efecto los cambios o bien desconecte cualquier unidad de almacenamiento 
USB que esté presente en el sistema y ejecute lo siguiente: 


rmmod uas 
depmod -a 


Inserte cualquier unidad de almacenamiento USB para verificar que es imposible acceder hacia el contenido de 
ésta. 

Si lo prefiere, también es posible permitir cargar el módulo uas, pero emitiendo un mensaje de correo 
electrónico que informará al administrador del sistema cuando se inserte una unidad de almacenamiento USB. 

Utilice cualquier editor de texto para crear o modificar el archivo /etc/modprobe.d/uas.conf: 

Elimine la configuración previa y/o anada el siguiente contenido: 


install uas /usr/bin/mail \ 

-s "Unidad USB insertada en SHOSTANAME" \ 
alguien@algo.tld 


Reinicie el sistema para que surtan efecto los cambios o bien desconecte cualquier unidad de almacenamiento 
USB que esté presente en el sistema y ejecute lo siguiente: 


rmmod uas 
depmod -a 


Espere unos minutos y verifique el mensaje que ha emitido el sistema en el buzón entrada de la cuenta de 
correo electrónico definida. 

116.2.5. En SUSE™ Linux Enterprise y openSUSE™ 12 y 13. 

Utilice cualquier editor de texto para modificar el archivo /etc/modprobe.conf.local: 

vim /etc/modprobe.conf.local 


Anada el siguiente contenido: 


install usb-storage /bin/false 
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Reinicie el sistema para que surtan efecto los cambios o bien desconecte cualquier unidad de almacenamiento 
USB que esté presente en el sistema y ejecute lo siguiente: 


rmmod usb-storage 
depmod -a 


Inserte cualquier unidad de almacenamiento USB para verificar que es imposible acceder hacia el contenido de 
ésta. 

Si lo prefiere, también es posible permitir cargar el módulo usb-storage, pero emitiendo un mensaje de correo 
electrónico que informará al administrador del sistema cuando se inserte una unidad de almacenamiento USB. 

Utilice cualquier editor de texto para modificar el archivo /etc/modprobe.conf.local: 


vim /etc/modprobe.conf.local 


Elimine la configuración previa y/o anada el siguiente contenido: 


install usb-storage /usr/bin/mail \ 

-s "Unidad USB insertada en SHOSTANAME" \ 
alguien@algo.com 


Reinicie el sistema para que surtan efecto los cambios o bien desconecte cualquier unidad de almacenamiento 
USB que esté presente en el sistema y ejecute lo siguiente: 


rmmod usb-storage 
depmod -a 


Espere unos minutos y verifique el mensaje que ha emitido el sistema en el buzón entrada de la cuenta de 
correo electrónico definida. 

116.2.6. Reglas de UDEV para impedir el acceso a unidades de almacenamiento USB. 

UDEV es una colección de herramientas y un servicio que se encarga de gestionar los eventos recibidos desde 
el núcleo del sistema, encargándose de éstos en el espacio de usuario. Se encarga de gestionar los permisos 
correspondientes, crear y eliminar enlaces simbólicos importantes hacia los nodos de los dispositivos que están 
dentro del directorio /dev, cuando los componentes de hardware son descubiertos o removidos del sistema. 

116.2.6.1. En CentOS, Fedora™, SUSE™ Linux Enterprise y Red Hat™ Enterprise Linux. 

Para restringir el acceso a las unidades de almacenamiento USB, se debe crear un archivo denominado 

/etc/udev/rules.d/lO-usb-storage.rules: 


vim /etc/udev/rules.d/10-usb-storage.rules 


Anada el siguiente contenido: 


DRIVER=="usb-storage", OPTIONS+="ignore„device last_rule" 


Lo anterior establece que al utilizar el módulo usb-storage, se ignoren los dispositivos a los que corresponda y 
que se impida afíadir nuevas reglas que pudieran cambiar esta política. 
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Para que apliquen los cambios, es necesario reiniciar el sistema. 


reboot 


Inserte cualquier unidad de almacenamiento USB para verificar que es imposible acceder hacia el contenido de 
ésta. 

116.2.6.2. En openSUSE™. 

Para restringir el acceso a las unidades de almacenamiento USB, se debe crear un archivo denominado 

/etc/udev/rules.d/lO-uas.rules: 


vim /etc/udev/rules.d/10-uas.rules 
Anada el siguiente contenido: 

DRIVER=="uas", OPTIONS+="ignore_device last_rule" 

Lo anterior establece que al utilizar el módulo uas, se ignoren los dispositivos a los que corresponda y que se 
impida anadir nuevas reglas que pudieran cambiar esta política. 

Para que apliquen los cambios, es necesario reiniciar el sistema. 

reboot 


Inserte cualquier unidad de almacenamiento USB para verificar que es imposible acceder hacia el contenido de 
ésta. 

116.2.7. PolicyKit para restringir el acceso a unidades de almacenamiento externo en 
general. 

PolicyKit es un conjunto de herramientas para definir y gestionar la autorización hacia diversas operaciones en 
el sistema. 

116.2.7.1. En CentOS, Fedora™, openSUSE™ y Red Hat™ Enterprise Linux. 

Estos sistemas operativos utilizan PolicyKit 0.94 o versiones más recientes. La configuración varía respecto de 
las de versiones anteriores. 

Lo primero es determinar el estado de la política org.freedesktop.udisks.filesystem-mount-system-internal, 
ejecutando lo siguiente: 


pkaction --action-id \ 

org.freedesktop.udisks.filesystem-mount-system-internal \ 
--verbose 


Para definir la política que sólo permitirá montar unidades de almacenamiento externo (USB, CDROM y 
DVDROM) al usuario root, se crear el archivo /var/lib/polkit-l/localauthority/50-local.d/udisks.pkla: 


vim /var/lib/polkit-l/localauthority/50-local.d/udisks.pkla 
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Y se anade el siguiente contenido: 


[Unidades de almacenamiento] 

Identity=unix-user:* 

Action=org.freedesktop.udisks.filesystem-mount-system-internal 

ResultAny=auth_admin 

Resultlnactive=auth_admin 

ResultActive=auth_admin 


Para permitir sólo a un usuario en particular, se cambia unix-user:* (define a cualquier usuario del sistema) por 
unix-user:usuario. En el siguiente ejemplo se permite el uso solo al usuario fulano: 

[Unidades de almacenamiento] 

Identity=unix-user:fulano 

Action=org.freedesktop.udisks.filesystem-mount-system-internal 

ResultAny=auth_admin 

Resultlnactive=auth_admin 

ResultActive=auth_admin 


Para verificar lo anterior, se puede ejecutar como root lo siguiente, donde 1586 corresponde al número de 
identidad de proceso de gnome-session y fulano corresponde al nombre del usuario activo del escritorio: 


pkcheck --action-id \ 

org.freedesktop.udisks.filesystem-mount-system-internal \ 
--process 1586 -u fulano 


Lo anterior debe devolver una ventana de autenticación similar a la siguiente. 



Authentication is required to mount the device 

Una aplicación está intentando realizar una acción que 
necesita permisos especiales. Es necesario autenticarse como 
uno de los usuarios siguientes para realizar dicha acción. 

S£jectlQfi£ U^UÒMQeee _ _ 

^ J 

▼ Detalles 


Accion: 

ora.freedesktOD.udislcs.fi1esvstenri-mount-svsteTn-internal 

Proveedor: 

The udislcs Proiect 


Cancelar Autenticar 


Ventana de autenticación para administradores. 


Si se quiere que en el caso anterior se use la contrasena del mismo usuario, para evitar proporcionar la 
contrasena de root, cambie auth_admin por auth_self: 


[Unidades de almacenamiento] 

Identity=unix-user:fulano 

Action=org.freedesktop.udisks.filesystem-mount-system-internal 

ResultAny=auth_self 

Resultlnactive=auth_self 

ResultActive=auth_self 
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Para verificar lo anterior, se puede ejecutar como root lo siguiente, donde 1586 corresponde al número de 
identidad de proceso de gnome-session y fulano corresponde al nombre del usuario activo del escritorio: 


pkcheck --action-id \ 

org.freedesktop.udisks.filesystem-mount-system-internal \ 
--process 1586 -u fulano 


Lo anterior debe devolver una ventana de autenticación similar a la siguiente. 


Authentication is required to mount the device 

Una apllcaciòn está intentando reatizar una 
— acción que necesita permisos especiales. Es 

necesario autenticarse para realizar dicha accion. 

Contrasenai»* j. — ^ 

▼ Detalles 

Acciòn: 3f a.treedesttop.udisLs.filesvste'n-'n junt-svâtem-internal 
Proveedor: The udist.5 Proiect 


Cancelar Auteriticar 


Ventana de autenticación para usuario. 


Inserte una unidad de almacenamiento USB o disco CD o DVD y verifique que aparece una ventana de 
autenticación, similar a cualquiera de las de arriba. 


Si sólo se desea prohibir el acceso a las unidades de almacenamiento externo a un solo usuario, se cambia 

auth_self por no: 


[Unidades de almacenamiento] 

Identity=unix-user:fulano 

Action=org.freedesktop.udisks.filesystem-mount-system-internal 

ResultAny=no 

ResultInactive=no 

ResultActive=no 


Lo anterior impedirá que el usuario fulano pueda hacer uso de unidades de almacenamiento externo por 
completo, sin mostrar siquiera la ventana de autenticación. 

Para eliminar la política, simplemente se elimina el archivo udisks.pkla. 


rm -f /var/lib/polkit-l/localauthority/50-local.d/udisks.pkla 


116.2.7.2. En SUSE™ Linux Enterprise 11. 

Este sistemas operativo utiliza PolicyKit 0.90. La configuración varía respecto de las de versiones posteriores. 
Cabe senalar que SUSE™ Linux Enterprise 10 carece de soporte para PolicyKit, por lo cual el 
procedimiento sólo aplica para la versión 11 y posteriores. 

Lo primero es determinar el estado de la política org.freedesktop.hal.storage.mount-removable, ejecutando 
lo siguiente: 
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polkit-action --action \ 

org.freedesktop.hal.storage.mount-removable 


Para definir la política que sólo permitirá montar unidades de almacenamiento externo (USB, CDROM y 
DVDROM) al usuario root, se edita el archivo /etc/polkit-default-privs.local: 


vim /etc/polkit-default-privs.local 


Y se anade el siguiente contenido: 


org.freedesktop.hal.storage.mount-removable auth_admin_keep_always 


Al terminar, ejecute set_polkit_default_privs para que se active la política. 
set_polkit_default_privs 

Ejecute polkit-auth del siguiente modo para permitir que sólo un usuario regular en particular pueda hacer uso 
de las unidades de almacenamiento externo: 


polkit-auth --user fulano --grant \ 

org.freedesktop.hal.storage.mount-removable 


Para deshacer el cambio, se ejecuta lo siguiente: 


polkit-auth --user fulano --revoke \ 

org.freedesktop.hal.storage.mount-removable 


Para impedir que un solo usuario sea quien tenga prohibido hacer uso de las unidades de almacenamiento 
externo, se omiten todos los procedimientos anteriores y se ejecuta: 


polkit-auth --user fulano --block \ 

org.freedesktop.hal.storage.mount-removable 


Para determinar los permisos de acceso de un usuario en particular para org.freedesktop.hal.storage.mount- 
removable, se ejecuta: 


polkit-auth --user fulano --explicit \ 

org.freedesktop.hal.storage.mount-removable 


Inserte una unidad de almacenamiento USB o disco CD o DVD y verifique que aparece una ventana de 
autenticación, similar a las de arriba. 
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117.1. Introducción. 

El escritorio de GNOME 2 utiliza GConf para almacenar y administrar la configuración de la mayor parte de sus 
componentes. Se ejecuta en segundo plano como gconfd-2 e inicia automáticamente junto con el escritorio, 
sólo una instancia por usuario. 

La configuración del escritorio puede hacerse desde las preferencias de las aplicaciones individuales, como 
diversos componenetes del Centro de Control, utilizando gconftool-2 o bien a través de la herramienta gráfica 

gconf-editor. 

GConf almacena las configuraciones de los usuarios en el directorio -/.gconf de cada usuarios. Los datos 
dentro de este directorio sólo pueden ser modificados por las preferencias de las aplicaciones, componentes del 
escritorio, gconftool-2 o bien la herramienta gráfica gconf-editor. Cualquier modificación realizada con editor 
de texto dentro de este directorio será ignorada por completo por gconfd-2 y se perderá irremediablemente al 
cerrar la sesión. 

117.2. Uso de gconftool-2. 

Se puede utilizar gconftool-2 como usuario regular para cambiar el valor de cualquier configuración de GConf. 
Como root es posible cambiar los valores predeterminados o bien establecer valores obligatorios. 

Para obtener una lista completa de las opciones de configuración del escritorio de un usuario regular, junto con 
los valores que éstas tengan, ejecute gconftool-2 con la opción --recursive-list (o bien -R) y /desktop/gnome 
(sin diagonal al final) como argumento: 


gconftool-2 --recursive-list /desktop/gnome 


Ejecute como usuario regular gconftool-2 con la opción -recursive-list (o bien -R) y /apps (sin diagonal al 
final) como argumento para obtener una lista completa de las opciones de configuración de las aplicaciones que 
utiliza GConf junto con los valores de éstas: 


gconftool-2 --recursive-list /apps 


Ejecute gconftool-2 con la opción -search-key-regex, seguida de una expresión regular o cadena de texto 
que se desee buscar para realizar una búsqueda. En el siguiente ejemplo se realiza la búsqueda de claves que 
coincidan con la cadena picture_filename\ 


gconftool-2 --search-key-regex picture_filename 
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Ejecute gconftool-2 con la opción --short-docs y el nombre de la clave como argumento para obtener una 
descripción corta de una clave en particular. En el siguiente ejemplo se consulta la descripción corta de la 
clave /desktop/gnome/background/picture_filename: 


gconftool-2 --short-docs \ 

/desktop/gnome/background/picture_filename 


Lo anterior devolverá en esta clave se establece un archivo de imagen. 

Ejecute gconftool-2, con la opción -long-docs y el nombre de la clave como argumento para obtener una 
descripción de una clave en particular. En el siguiente ejemplo se consulta la descripción de la clave 
/desktop/gnome/background/picture_filename: 


gconftool-2 --long-docs \ 

/desktop/gnome/background/picture_filename 


Lo anterior devolverá que se trata de la configuración para establecer el tapiz o fondo de pantalla del escritorio. 

Ejecute gconftool-2 con la opción -get (o bien -g) y el nombre de la clave como argumento para obtener los 
valores de una clave en particular, como usuario regular. En el siguiente ejemplo se consulta el valor de 
/desktop/gnome/background/picture_filename, que corresponde al archivo de imagen utilizado como fondo de 
pantalla del escritorio: 


gconftool-2 --get /desktop/gnome/background/picture_filename 


La salida puede devolver algo similar a lo siguiente: 


/usr/share/backgrounds/waves/waves.xml 


Ejecute gconftool-2 con la opción -set (o bien -s), el nombre de la clave, la opción -type (o bien -t) y el tipo 
de valor (bool, float, int, list, pair o string para definir valores tipo booleano, flotante, entero, lista, par o cadena, 
respectivamente) y finalmente el valor a establecer para la clave para cambiar cambiar el valor cualquier 
configuración, sólo para el usuario regular utilizado. En el siguiente ejemplo se establece 
/usr/share/backgrounds/cosmos/jupiter.jpg como el valor para la clave 

/desktop/gnome/background/picture_filename: 


gconftool-2 --set /desktop/gnome/background/picture_filename \ 
--type string "/usr/share/backgrounds/cosmos/jupiter.jpg" 


Ejecute gconftool-2 con la opción -unset (o bien -u) y el nombre de la clave como argumento para regresar 
una clave a su valor predeterminado. En el siguiente ejemplo se elimina el valor personalizado para el clave 
/desktop/gnome/background/picture_filename: 


gconftool-2 --unset /desktop/gnome/background/picture_filename 


Ejecute gconftool-2 con la opción -recursive-unset y el nombre de cualquier directorio de GConf para regresar 
a todo el contenido a sus valores predeterminados. En el siguiente ejemplo, se eliminarán los valores 
personalizados de todas las configuraciones que están debajo de /desktop/gnome/background: 


gconftool-2 --recursive-unset /desktop/gnome/background 
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Ejecute gconftool-2 como root con la opción --direct (acceso directo a la base de datos de configuraciones), la 
opción -config-source con la ruta xml:readwrite:/etc/gconf/gconf.xml.defaults, la opción -set con el 
nombre de la clave cambiar, la opción -type con el tipo de valor y un valor para establecer valores 
predeterminados. En el siguiente ejemplo se establecerá el archivo 
/usr/share/backgrounds/cosmos/jupiter.jpg como el valor predeterminado de 
/desktop/gnome/background/picture_filename: 


gconftool-2 --direct \ 

--config-source xml:readwrite:/etc/gconf/gconf.xml.defaults \ 
--set /desktop/gnome/background/picture_filename \ 

--type string "/usr/share/backgrounds/cosmos/jupiter.jpg" 


Como usuario regular ejecute lo siguiente: 


gconftool-2 --unset /desktop/gnome/background/picture_filename 


Lo anterior mostrará como valor predeterminado al archivo /usr/share/backgrounds/cosmos/jupiter.jpg en la 
que se estableció originalmente en el sistema. El usuario podrá establecer cualquier otra imagen que desee 
como fondo de escritorio y cuando elimine su configuración personalizada para esta clave, se mostrará la 
imagen que se haya establecido como predeterminada. 

Ejecute gconftool-2 con la opción -direct, la opción -config-source con la ruta 
xml:readwrite:/etc/gconf/gconf.xml.defaults y la opción -unset para regresar una clave al valor original. En 
el siguiente ejemplo se regresará a su valor original la clave /desktop/gnome/background/picture_filename: 


gconftool-2 --direct \ 

--config-source xml:readwrite:/etc/gconf/gconf.xml.defaults \ 
--unset /desktop/gnome/background/picture_filename 


Para establecer valores obligatorios, es decir configuraciones que los usuarios estarán imposibilitados para 
cambiar, ejecute gconftool-2 como root con la opción -direct (acceso directo a la base de datos de 
configuraciones), la opción -config-source con la ruta xml:readwrite:/etc/gconf/gconf.xml.mandatory, la 
opción -set con el nombre de la clave a cambiar, la opción -type con el tipo de valor y el valor que se desea 
establecer como predeterminado para una clave en particular. En el siguiente ejemplo se establecerá 
/usr/share/backgrounds/cosmos/jupiter.jpg como el valor obligatorio de 

/desktop/gnome/background/picture_filename: 


gconftool-2 --direct \ 

--config-source xml:readwrite:/etc/gconf/gconf.xml.mandatory \ 
--set /desktop/gnome/background/picture_filename \ 

--type string "/usr/share/backgrounds/cosmos/jupiter.jpg" 


Para poder apreciar este cambio, es necesario cerrar la sesión de escritorio que esté activo y volver a ingresar 
a éste. En algunos casos sólo será necesario cerrar y volver a ejecutar una aplicación en particular para la cual 
se hayan establecido los valores obligatorios. 

Para regresar una clave al valor original, ejecute gconftool-2 con la opción -direct, la opción -config-source 
con la ruta xml:readwrite:/etc/gconf/gconf.xml.defaults y la opción -unset. En el siguiente ejemplo se 
regresará a su valor original la clave /desktop/gnome/background/picture_filename: 


gconftool-2 --direct \ 

--config-source xml:readwrite:/etc/gconf/gconf.xml.mandatory \ 
--unset /desktop/gnome/background/picture_filename 
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La mayoría de las distribuciones actuales de GNU/Linux utilizan las rutas /etc/gconf/gconf.xml.defaults y 
/etc/gconf/gconf.xml.mandatory, por lo cual todo lo anterior deberá funcionar sin problemas. En SUSE Linux 
Enterprise 10 y versiones anteriores, las rutas son /etc/opt/gnome/gconf/gconf.xml.defaults y 
/etc/opt/gnome/gconf/gconf.xml.mandatory, para las configuraciones predeterminadas y obligatorias, 
respectivamente. 

117.2.1. Configuraciones más comúnmente restringidas en el escritorio de GNOME. 

• /desktop/gnome/lockdown/disable_application_handlers: 

Tipo de valor booleano. Si se establece el valor true, impide que todas las aplicaciones para 
GNOME puedan ejecutar cualquier gestor de URL o tipos MIME. 

• /desktop/gnome/lockdown/disable_command_line: 

Tipo de valor booleano. Si se establece el valor true, se impide que el usuario acceda a la 
terminal de GNOME o que se permita la ejecución de cualquier programa externo desde 
cualquier aplicación para GNOME. Ésto también desactiva el acceso al diálogo del panel 
«Ejecutar aplicación». 

• /desktop/gnome/lockdown/disable_lock screen: 

Tipo de valor booleano. Si se establece el valor true, impide que el usuario pueda bloquear su 
escritorio con el salvapantallas. 

• /desktop/gnome/lockdown/disable_printing: 

Tipo de valor booleano. Si se establece el valor true, impide que el usuario pueda imprimir. 
Desactiva el acceso a todos los diálogos «Imprimir» de todas las aplicaciones para GNOME. 

• /desktop/gnome/lockdown/disable_print_setup: 

Tipo de valor booleano. Si se establece el valor true, impide que el usuario pueda modificar los 
ajustes de impresión. Desactiva el acceso a todos los diálogos «Configurar impresión» de todas 
las aplicaciones. 

• /desktop/gnome/lockdown/disable„save_to_disk: 

Tipo de valor booleano. Si se establece el valor true, impide que el usuario pueda guardar 
archivos en el disco. Desactiva el acceso a todos los diálogos «Guardar como» de todas las 
aplicaciones. 

• /desktop/gnome/lockdown/disable_user_switching: 

Tipo de valor booleano. Si se establece el valor true, previene que el usuario seleccione otra 
cuenta mientras su sesión está activa. 

• /apps/nautilus/lockdown/disable_context menus: 

Tipo de valor booleano. Si se establece el valor true, previene que los usuarios puedan utilizar los 
menúes contextuales del administrador de archivos Nautilus que se muestran al hacer clic 
derecho o pulsar la tecla de menú contextual. Muy recomendado para kioskos y pantallas táctiles. 

• /apps/panel/global/disable_log out: 

Tipo de valor booleano. Si se establece el valor true, el panel impedirá al usuario cerrar la sesión, 
eliminando las entradas de menú de salida de sesión. 

• /apps/panel/global/locked down: 

Tipo de valor booleano. Si se establece el valor true, el panel impedirá cambios en su 
configuración. Algunas mini-aplicaciones individuales quizá necesiten bloquearse de forma 
independiente. El panel (o la sesión) debe reiniciarse para que esto surta efecto. 

Herramienta gconf-editor. 

La herramienta gráfica gconf-editor permite hacer todo lo que hace gconftool-2. Sólo es necesario localizar y 
seleccionar la clave, hacer clic derecho y editar el valor de la clave o bien desestablecer ésta o bien establecer 
el valor de la clave como predeterminado u obligatorio. Para distribuciones que incluyen PolicyKit (o polkit), 
aparecerá un diálogo que solicitará la contrasena del administrador cuando se requiera establecer valores 
predeterminados u obligatorios. Para las distribuciones que carecen de PolicyKit, es necesario ejecutar gconf- 
editor como root a fin de poder establecer valores predeterminados u obligatorios. 
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GConf-editor. 

Puede instalarse en CentOS, Fedora™ y Red Flat™ Enterprise Linux ejecutando lo siguiente: 


yum -y install gconf-editor 


Puede instalarse en openSUSE™ y SUSE™ Linux Enterprise ejecutando lo siguiente: 
yast -i gconf-editor 
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